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は じ め に 


どう し て タイ トル が 2 つ あ る の ? 


2014 年 ご 2018 年 に “Reverse Engineering for Beginners” と いう 名 前 を 付け て いま し た 
が 、 読 者 層 が 狭 す ぎる と いつ も 思っ て いま し た 。 


情報 セキ ュ リ ティ の 人 々 は “リバ ー ス エン ジニ アリ ング "に つい て 知っ て いま す が 、 私 は 
めった に “アセンブラ " と いう 言葉 を 聞き ませ ん で し た 。 


同様 に 、“/ リ バー スエ ンジ ニア リン グ " と いう 用 語 は 、 一 般 的 な プロ グラ マ の 読者 に と っ て 
は や や 暗黙 の 言葉 で す が 、“ ア セン ブラ " に つい て は 知っ て いま す 。 


2018 年 7 月 、 実 験 と し て “初心 者 の た め の ア セン ブリ 言語 "” の タイ トル を 変更 し 、Hacker 
News の ウェ ブサ イト へ の リン ク < を 掲載 し まし た 。 こ の 本 は 一 般 に よく 受け 入れ られ まし 
た 。 


そん な わけ で な す が ま ま に し て 、 タ イト ル を 2 つ に し て あり ます 。 


し か し 、2 番 目 の タ イト ル を “アセンブリ 言語 を 理解 する " に 変更 し まし た 。 これ は 、 す 
で に 誰か が “初心 者 の た め の ア セン ブリ 言語 ′” と いう 本 を 既に 書い て いる か ら で す 。 また 、 
“初心 者 の た め " と いう 言葉 は ー こ 1000 ペ ー ジ 以上 ある 本 だ と 皮肉 に 聞こ えま す 。 


2 つの 書籍 は 、 タ イト ル と ファ イル 名 (UAL-XX.pdf に 対し て RE4B-XX.pdf)、URL と 最初 の 
数 ペー ジ の み 異 な り ま す 。 

リバ ー ス エン ジニ アリ ング に つい て 

[reverse engineering] に は よく 知ら れ た 意味 が いく つか あり ます 。 

1) ソフ トウ ェ ア の リバ ー ス エン ジニ アリ ング 、 コ ン パ イル され た プロ グラ ム の 研究 

2) 3D 構 造 の スキ ャ ン と 、 そ れ ら を 複製 する た め に 必要 な その 後 の デ ジタル 操作 

3) DBMS? 構造 の 再 構成 

本 書 は 最初 の 意味 に つい て の 本 で す 。 


前 提 条 件 


C プ ログ ラミ ング 言語 ( PL* ) の 基礎 知識 。 推 奨 図書 : 8.1.3 on page 564 


練習 問題 や タス ク 
..http://challenges.re に あり ます 。 
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https://beginners.re/#praise. 


?https://news.ycombinator.com/item?id-17549050 
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О: この 本 を 読む た め の 前 提 条 件 は 何で すか ? 
А: C/C ++ の 基本 的 な 理解 が ある の が 望ま し いで す 。 


Q : x86/x64/ARM と MIPS を 本 当 に すぐ に 学ぶ べき で し ょ うか ? そ れ は あま り に も 大 変 で 
は な いで すか ? 

A: 初心 者 は 、ARM と MIPS の 部 分 を スキ ッ プ また は スキ ミン グ し な が ら 、x86/x64 だ け を 
読ん で も いい で す 。 

Q : ロシア 語 ま た は 英語 の ハー ドカ バー/ ペ ー パ ー ブ ッ ク を 購入 で きま すか ? 

A: 残念 な が ら 、 い いえ 。 こ れ ま で に ロシア 語 版 や 英語 版 を 出版 する こと に 興味 を 持っ た 
出版 社 は いま せん で し た 。 そ の 間 に 、 お 気に入り の コピ ー シ ョ ッ プ に 印刷 し て バイ ンド す 
1https://github. com/shmz 
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2lhttps://vasil.ludost.net/ 
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る よう 依頼 する こと が で きま す 。 https://yurichev.com/news/20200222 printed_ 
RE4B/. 
Q : epub ま た は mobi の バー ジョ ン は あり ます か ? 


A : いい え 。 本 は TeX / LaTeX 固 有 の ハッ キン グ に 強く 依存 し て いる の で 、HTML (epub / 
mobi は HTML の 集合 で す ) へ の 変換 は 簡単 で は あり ませ ん 。 


Q: 最近 、 ア セン ブリ 言語 を 学ば な けれ ば な ら な い の は な ぜ で すか ? 


A: あな た が OS22 開 発 者 で な い 限 り 、 ア セン ブラ で コー ド 化 する 必要 は な いで し ょ う 。 最 
新 の コン パイ ラ (2010s) は 、 人 間 よ り も 最適 化 を 実行 する 方 が は る か に 優れ て いま すう 


また 、 最 新 の CPU は 非常 に 複雑 な デバ イス で あり 、 ア セン ブリ の 知識 は 内 部 を 理解 する の 
に 役立つ も の で は あり ませ ん 。 


それ は 、 少なくとも 2 つの 領域 が あり 、 ア セン ブリ の 理解 を 深め る こと が 役立つ こと が あり 
ます 。 ま ず 、 セ キュ リティ / マ ルウ ェ ア の 研究 に 役立つ こと で す 。 ま た 、 デ バッ グ 中 に コン 
パイ ル さ れ た コー ド を より よく 理解 する た め の 良 い 方 法 で す 。 し た が っ て 、 こ の 本 は 、 ア 
セン ブリ 言語 を 記述 する の で は な く 、 ア セン ブリ 言語 を 理解 し た い 人 の た め に 用 意 さ れ て 
いま す 。 そ の た め 、 コ ン パ イラ 出力 の 例 が 多数 含ま れ て いま す 。 


Q : PDF 文 書 内 の ハイ パー リン ク を クリ ッ ク し まし た が 、 ど の よう に 戻っ て きま すか ? 


A : Adobe Acrobat Reader で Alt+ 左 矢印 を クリ ッ ク し ます 。Evince で “ <” ボタ ン を クリ 
ッ ク し て くだ さい 。 


О: この 本 を 印刷 し て 教え て も いい で すか ? 


A: も ちろ ん ! だ か ら こ の 本 は クリ エイ ティ ブ コ モン ズラ イセ ンス (CC BY-SA 4.0) に 基 
づい て ライ セン ス さ れ て いま す 。 


Q: な ぜ こ の 本 は 無料 で すか ? あな た は 素晴らし い 仕 事 を し て きま し た 。 こ れ は 他 の 多く 
の 自由 な も の と 同様 に 疑わ し いも の で す 。 


A : 私 自身 の 経験 で は 、 技 術 文献 の 著者 は 主 に 自己 宣伝 の 目的 で 書い て いま す 。 そ の よう 
な 仕事 か ら ま と も な 金 を 稼ぐ こと は で きま せん 。 


Q: リバ ー ス エン ジニ アリ ング で は どの よう に 仕事 を し て いま すか ? 


A: reddit に は 時 々 現れ る 採用 スレ ッ ド が あり 、RE2^ に 専念 し て いま す 。 そこ を 見 て みて 
くだ さい 。 


多少 関連 する 採用 スレ ッ ド は 、netsec サ ブ デ ィ レ クト リ に あり ます 。 
о: 質問 が あり ます .… 
A: 私 に メー ル し て くだ さい (my emails) 


韓国 語 版 に つい て 


2015 年 1 月 、 韓 国 の Acorn 出 版 社 (www.acornpub.co.kr) は 、 こ の 書籍 を 2014 年 8 月 に 韓 
国語 に 翻訳 し て 出版 する 際 に 膨大 な 作業 を し まし た 。 

22 オ ペレ ー テ ィング シス テム 

23 こ の トピ ッ ク に 関す る 非常 に 良い テキ スト : [Agner Fog, The microarchitecture of Intel, AMD and VIA 
CPUs, (2016)] 

24reddit.com/r/ReverseEngineering/ 
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現在 、 彼 ら の ウェ ブサ イト で 利用 可能 で す 。 


翻訳 者 は Byungho Min (twitter/tais9) で す 。 カ バー アー ト は 、 作 家 の 友人 Andy Nechaevsky(facebook/andydii 
に よっ て 行わ れ ま し た 。Acorn に は 、 韓 国語 翻訳 の 著作 権 も あり ます 。 


そし て 、 あ な た が 韓国 語 で 本 棚 に リア ル な 本 が ほし く て 、 こ の 作品 を サポ ー ト し た いな ら 、 
現在 購入 可能 で す 。 


ペル シア / フ ァ ル ン シ 語 版 に つい て 


2016 年 に この 本 は Mohsen Mostafa Jokar (Radade の マニ ュ ア ル を 翻訳 し て いて 、 イ ラ 
ン の コミ ュ ニ ティ に も 知ら れ て いま す ) に よっ て 番 訳 され まし た 。 出版 社 の ウェ ブサ イト 
(Pendare Pars) で 入手 で きま す 。 


ここ に 40 ペ ー ジ の 抜粋 へ の リン ク が あり ます : https://beginners.re/farsi.pdf 
イラ ン 国 立 図書 館 登録 情報 http://opac.nlai.ir/opac-prod/bibliographic/4473995 


中 国語 版 に つい て 
2017 年 4 月 、 中 国語 へ の 翻訳 は 中 国 の PTPress に よっ て 完了 し まし た 。 中 国語 の 著作 権 者 
で も あり ます 。 


中 国語 版 は こち ら か ら 注 文 で きま す : http://ww.epubit.com.cn/book/details/ 
4174 


翻訳 の 背後 に ある 部 分 的 な レビ ュー と 履歴 は 、 こ こ に あり ます : http: //www . cptoday . 
cn/news/detail/3155 

主 な 翻訳 者 は Archer で す 。 彼 は 非常 に 細心 の 注意 を 払っ て お り 、 こ の 本 の よう な 文献 で は 
非常 に 重要 な 既知 の 間違い や バグ の ほとん ど を 報告 し て いま し た 。 私 は 彼 の サー ビス を 他 
の 著者 に 推薦 し ます ! 


Antiy Labs の スタ ッ フ も 翻訳 を 手伝っ て くれ まし た 。 こ こ に 彼ら が 書い た 序文 が あり ます 。 


第 1 = 
コー ド バ パタ ー ン 


第 1.1 節 方 法 


この 本 の 著者 は C 言 語 、 そ の 後 Cpp を 学び 始め た と き 、 小 さ な コ ー ド を 書い て コン パイ ル 
し 、 ア セン ブリ 言語 の 出力 を 見 て いま し た 。 これ に より 、 彼 が 書い た コー ド で 何 が 起こ っ 
て いる の か を 理解 する こと が 非常 に 容易 に な り ま し た 。 + 彼 は これ を 何 度 も や っ て 、 Cpp コ 
ー ド と コン パイ ラ が 作り 出し た も の と の 関係 が 彼 の 心 の 中 に 深く 刻ま れ て いた こと を 知っ 
て いま す 。 今 で は 、C コ ー ド の 外観 と 機能 の 概要 を 即座 に 想像 する の は 簡単 で す 。 お そら 
く 、 こ の テク ニッ ク は 他 の 人 に 役立つ か も し れ ま せん 。 


な お 、PC に イン スト ー ル せ ず に 、 さ ま ざ ま な コン パイ ラ を 使っ て PC と 同じ こと が で 
きる 素晴らし い Web サ イト が あり ます 。 あ な た も それ を 使う こと が で きま す : https: 
//godbolt.org/ 


練習 問題 


この 本 の 作者 が アセ ン ブ リ 言語 を 学ん だ と き 、 彼 は し ば し ば 小さ な C 関 数 を コン パイ ル し 
て か ら 、 ア セン ブリ を 徐々 に 書き 直し て コー ド を 可能 な 限り 短く し よう と し まし た 。 効率 
性 の 点 で 最新 の コン パイ ラ と 競争 する の は 難し いた め 、 現 実 の シナ リオ で は これ は お そら 
< 価値 が あり ませ ん 。 し か し 、 そ れ は アセ ン ブ リ の より 良い 理解 を 得る た め の 非 常に 良い 
方 法 で す 。 し た が っ て 、 こ の 本 の 中 か ら ア セン ブリ コー ド を 取り 出し て 短く し て みて くだ 
さい 。 し か し 、 あ な た が 書い た も の を テス ト す る こと を 忘れ な いで くだ さい 。 


最適 化 レ ベル と デバ ッ グ 情報 


ソー スコ ー ド は さま ざま な 最適 化 レ ベル を 持つ 異な る コン パイ ラ に よっ て コン パイ ル で き 
ます 。 典型 的 な コン パイ ラ に は この よう な レベ ル が 約 3 つ あり ます 。 レ ベル 0 は 最適 化 が 完 
全 に 無効 に な っ て いる こと を 意味 し ます 。 最 適 化 は 、 コ ー ド サイ ズ や コー ド の 速度 に 合わ 
せる こと も で きま す 。 最適 化 さ れ て いな い コ ン パ イラ は より 高速 で より 理解 し や すい コー 
ド を 生成 し ます が 、 最 適 化 コン パイ ラ は 遅く な り 、 実 行 速度 の 速い コー ド を 生成 し よう と 


+ 実 際 、 彼 は コー ド の 特定 の ビッ ト が 何 を し て いる の か 理解 で き な い と きも これ を 実行 し ます 


2 
し ます (コン パク ト で ある 必要 は あり ませ ん )。 最適 化 レベ ル に 加え て 、 コ ン パ イラ は 結果 
ファ イル に いく つか の デバ ッ グ 情報 を 含め て 、 デ バッ グ し や すい コー ド を 生成 する こと が 
で きま す 。「 デ バッ グ 」 コ ー ド の 重要 な 機能 の 1 つ は 、 ソ ー ス コー ド の 各行 と それ ぞ れ の マ 
シン コー ドア ドレ ス と の 間 に リ ンク を 含む 可能 性 が ある こと で す 。 一 方 、 コ ン パ イラ を 最 
適 化す る と 、 ソ ー ス コー ド の 行 全体 が 最適 化 さ れ 、 結 果 の マシ ンコ ー ド に も 存在 し な い 出 
力 が 生成 され る 傾向 が あり ます 。 リ バー スエ ンジ ニア は いずれ か の バー ジョ ン に 遭遇 する 
可能 性 が あり ます 。 な ぜ な ら 、 一 部 の 開発 者 は コン パイ ラ の 最適 化 フ ラグ を オン に し 、 他 
の 開発 者 は そう し な いか ら で す この た め 、 可 能 で あれ ば 、 本 書 に 記載 され て いる コー ド の 
デバ ッ グ 版 と リリ ー ス 版 の 両方 の 例 を 取り 上 げ よ うと し ます 。 


最も 短い (また は 最も 単純 な ) コー ドス ニ ペ ッ ト を 得る た め に 、 時 に は か な り 古 い コ ン パ 
イラ が この 本 で 使わ れ て いま す 。 


第 1.2 節 基本 的 な 事柄 


第 1.2.1 節 簡単 な CPU 入門 

CPU* は 、 プ ログ ラム が 構成 する マシ ンコ ー ド を 実行 する デバ イス で す 。 

短い 用 語 

命令 : プリ ミ テ ィ ブ CPU コマ ンド 。 最 も 単純 な 例 と し て は 、 レ ジス タ 間 の デー タ の 移動 、 


メモ リ の 操作 、 プ リ ミ テ ィ ブフ 人 算術 演算 な ど が あり ます 。 一般に 、 各 CPU に は 独自 の 命 
令 セ ッ ト ア ー キ テク チャ (ISA) が あり 、 


マシ ンコ ー ド : CPU が 直接 処理 する コー ド 。 各 命令 は 、 通 常 、 数 ベ バイト で 符号 化 さ れ ま す 。 


アセ ン ブ リ 言語 : ニー モニ ッ ク コ ー ド と 、 マ クロ の よう な いく つか の 拡張 機能 は 、 プ ログ 
ラマ ー の 人 生 を より 簡単 に する た め の も の で す 。 


CPU レジ スタ : 各 CPU に は 汎用 レジ スタ (GPR) の 固定 セッ ト が あり ます 。x86 で は 約 8、 
x86-64 で は 約 16、ARM で は 約 16 で す 。 レ ジス タ を 理解 する 最も 簡単 な 方 法 は 、 そ れ 
を 型 な し の 一 時 変数 と 考え る こと で す 。 高 水準 の PL で 作業 し て いて 、8 つ の 32 ビ ッ ト 
(また は 64 ビ ッ ト ) 変数 し か 使用 で き な い と し た ら ど う で し ょ うか ? し か し 、 こ れ ら 
を 使っ て 多く の こと を 行う こと が で きま す ! 


機械 コー ド と PL の 違い が 必要 な 理由 は 不思議 で す 。 答 え は 、 人 間 と CPU が 似 て いな いと い 
う 事 実に あり ます 。 人間 が Cpp、Jjava、Python な どの 高 レ ベル の PL を 使う 方 が は る か に 簡 
単 で す が 、CPU が は る か に 低い レベ ル を 使用 する 方 が 簡単 で す 。 抽 象 化 の お そら く 、 高 レ 
ベル の PL コー ド を 実行 で きる CPU を 発明 する こと は 可能 か も し れ ま せん が 、 今日 われ われ 
が 知っ て いる CPU の 何 倍 も 複雑 な も の に な る で し ょ う 。 同様 の 方 法 で 、 人 間 が アセ ン ブ リ 
言語 で 書く こと は 非常 に 不便 で す 。 な ぜ な ら 、 そ れ は 低 レ ベル で あり 、 厄 介 な 間違い を 大 
量 に 作成 する こと な く 書 き 込 むこ と が 難し いか ら で す 。 上位 PL コ ー ド を アセ ン ブ リ に 変換 
する プロ グラ ム を コン パイ ラ と 呼び ます 。3 

2Central Processing Unit 

3 旧式 の ロシア 文学 で も 、 翻 訳者 と いう 用 語 が 使わ れ て いま す 。 


異な る ISAs に つい て 2、3 


x86 ISA は 常に 可変 長命 令 を 持っ て いた の で 、64 ビ ッ ト 時 代 に な る と x64 拡 張 は ISA に 非 
оо т OA ET 

登場 し た 命令 が まだ 多く 含ま れ て いま す が 、 今日 の CPU で は まだ 見 つか っ て いま す 。 
о 定 の 長 さ の 命令 を 念頭 に 置い て 設計 され た RISC? CPU で あり 、 過 去 に いく つか 
の 利点 が あ り まし た 。 当初 、 す べ て の ARM 命 令 は 4 バイ ト で エン コー ド さ れ て いま し た 

これ は 現在 、「ARM モ ー ド 」 と 呼ば れ て いま す 。 それから 、 彼 ら は 最初 に 想像 し た ほ 
ү E と に 気付 きま し た 。 実際 の アプ リケーション で 最も 一 般 的 な CPU 命 
令 (MOV/PUSH/CALL/Icc な ど ) は 、 よ り 少 な い 情 報 を 使用 し て エン コー ド で きま す 。 し 
た が っ て 、Thumb と 呼ば れる 別 の ISA を 追加 し まし た 。 そこで は 、 各 命令 は わずか 2 バイ 
ト で エン コー ド さ れ て いま し た 。 こ れ を 「Thumb モ ー ド 」 と 呼び ます 。 た だ し 、 す べ て 
の ARM 命 令 が 2 バイ ト で エン コー ド で きる わけ で は な いた め 、Thumb 命 令 セ ッ トト は 多少 
制限 され て いま す 。ARM モ ー ド と Thumb モ ー ド 用 に コン パイ ル さ れ た コー ド は 、1 つ の 
プロ グラ ム 内 で 共存 で きる こと に 注意 し て くだ さい 。ARM の 作成 者 は 、Thumb を 拡張 し 
て 、ARMv7 に 登場 し た Thumb-2 を 生み 出す こと が で きる と 考え まし た 。Thumb-2 は £ 
だ 2 バイ ト の 命令 を 使用 し ます が 、4 バ イト の サイ ズ を 持つ いく つか の 新しい 命令 が あり ま 
す 。Thumb-2 は ARM と Thumb が 混在 し て いる と いう 誤解 が 一 般 的 で す 。 こ れ は 間違っ て 
いま す 。 む し ろ Thumb-2 は すべ て の プロ セッ サ 機 能 を 完全 に サポ ー ト する よう に 拡張 さ 
れ て お り 、ARM モ ー ド と 競合 する 可能 性 が あり ます 。 これ は 明らか に 達成 され た 目標 で 、 
idevices の 大 部 分 の アプ リケーション は Thumb-2 命 令 セ ッ ト 用 に コン パイ ル さ れ て いま 
す 。 (確か に 、 こ れ は 主 に Xcode が デフ ォ ル ト で 行う た めで す )。 後 で 64 ビ ッ ト ARM が 出 ま 
し た 。 こ の ISA に は 4 バイ ト の 命令 が あり 、Thumb モ ー ド を 追加 する 必要 は あり ませ ん で し 
た 。 し か し 、64 ビ ッ ト の 要件 が ISA に 影響 を 与え 、ARM モ ー ド 、 Thumb モ ー ド (Thumb-2 を 
含む )、ARM64 と いう 3 つの ARM 命 令 セ ッ ト を 持つ よう に な り ま し た 。 こ れ ら の ISA は 部 分 
sa 同じ ISA で ある と 言え る 。 し た が っ て 、 こ の 本 で は 3 つの ARM ISA す べ て 

ー ド の 断片 を 追加 し よう と し ます 。 と ころ で 、MIPS、PowerPC、Alpha AXP な ど 固 定 
x ト 命 令 を 持つ 他 の 多く の RISC ISA が あり ます 。 


第 1.2.2 節 数 値 シ ステ ム 


Nowadays octal numbers seem to be used 
for exactly one purpose—file permissions on 
POSIX systems—but hexadecimal numbers 
are widely used to emphasize the bit pattern 
of a number over its numeric value. 


Alan A. A. Donovan, Brian W. Kernighan — 
The Go Programming Language 


お そら く ほ と ん どの 人 に 10 本 の 指 が ある の で 、 人間 は 10 進 数 字 シ ステ ム に 慣れ て きま し 
た 。 それ に も か か わら ず 、 数 「10」 は 科学 と 数 学 で は 重要 な 意味 を 持ち ませ ん 。 デジ タル 電 
子 機器 の 自然 数 シス テム は バイ ナリ で す .0 は 電線 に 電流 が 流れ て いな いこ と を 表し 、1 は 
存在 を 表し ます 。 バ イナ リ で 10 は 10 進 数 で 2、 バ イナ リ で 100 は 小数 点 で 4 な ど で す 。 


数 値 シ ステ ム が 10 桁 の 場合 、 基 数 は 10 で す 。2 進 数字 シ ステ ム の 基数 は 2 で す 。 


4Instruction Set Architecture 

3Reduced Instruction Set Computing 

6 固定 長命 令 は 、 労 力 を 要する こと な く 次 (また は 前 ) の 命令 アド レス を 計算 で きる た め 、 便 利 で す 。 こ の 機能 
に つい て は 、switch 0 オペ レー タ セ クシ ョ ン で 説明 し ます 。 


思い 出す べき 重要 な こと : 
1) 数 字 は 数 字 で あり 、 桁 は 書記 体系 か ら の 言葉 で あり 、 通 常 は 1 文字 


2) 数 値 の 値 は 別 の 基数 に 変換 され て も 変更 され ませ ん 。 そ の 値 に 対す る 書き 込み 表記 だ 
けが 変更 され て いま す (し た が っ て 、RAM7 で 表現 する 方 法 )。 


第 1.2.3 節 1 つの 基数 か ら 別 の 基数 へ の 変換 

位置 表記 は ほぼ すべ て の 数 値 シ ステ ム で 使用 され ます 。 これ は 、 数 字 が 大 き な 数 字 の 中 に 
置か れ て いる 場所 に 対す る 相対 的 な 重み を 持つ こと を 意味 し ます 。2 が 右端 に 置か れ て い 
る 場合 は 2 で す が 、 右 端 の 前 に 1 桁 置か れ て いる 場合 は 20 で す 。 

1234 は 何 を 表し ます か ? 
10°?-1+107-2+10'-3+1-4 = 1234 or 1000-1+100-2+10-3+4+4 = 1234 


バイ ナリ の 数 字 は 同じ で す が 、 ベ ー ス は 10 で は な く 2 で す .0b101011 は 何 を 表し て いま す 
か ? 


2°.14+24.90423.1427.9042'.142°.1 = 43 or 32-14+16-04+8-144-042-141=43 
ロー マ 数 字 の よう な 非 定 位 表記 の よう な も の が あり ます 。 8 おそ らく 人 類 は 紙 で 基本 的 な 
操作 (加算 、 乗 算 な ど ) を 手 作 業 で 行う 方 が 簡単 で ある た め 、 位 置 表記 法 に 切り 替え まし 
た 。 

二 進 数 は 、 学 校 で 教え られ た の と 同じ よう に 追加 、 減 算 な ど が 可能 で す が 、2 桁 し か 利用 で 
きま せん 。 


2 進数 は 、 ソ ー ス コー ド と ダン プ で 表現 され て いる と き に は か さば り ま す 。 し た が っ て 、 
16 進 数 表記 が 役立ち ます 。16 進 の 基数 は 、0..9 の 数 字 と 6 つの ラテ ン 文 字 A..F を 使用 し ま 
す 。 各 16 進 数 字 は 4 ビッ ト ま た は 4 バイ ナリ の 数 字 を 取る の で 、 バ イナ リ の 数 字 か ら 16 進 
数 に 変換 し た り 、 手 動 で さえ 戻し た りす る の は 非常 に 簡単 で す 。 


hexadecimal | binary | decimal 
0000 
0001 
0010 
0011 
0100 
0101 
0110 
0111 
1000 
1001 
1010 
1011 
1100 
1101 
1110 
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7Random-Access Memory 
8 数 値 シ ステ ム の 進化 に つい て は 、195-213 を 参照 し て くだ さい 。 


[F [1111 [15 | 


特定 の イン スタ ンス で どの 基数 が 使用 され て いる か を どの よう に 知る こと が で きま すか ? 


小数 点 は 通常 1234 の よう に 書か れ ま す 。 ア セン ブラ の 中 に は 小数 点 以 下 の 基 数 に 識別 子 
を 付け る こと が で きま す が 、 数 字 に は 接尾 辞 d (1234d) が 付き ます 。 


2 進数 に は 、 接 頭 辞 70b" が 付い て いる こと が あり ます : 00100110111 (GCC3? に は この た 
め の 非 標準 言語 拡張 が あり ます や) 


も う 1 つ の 方 法 も あり ます 。 た と えば 、"b" 接尾 辞 を 使用 し ます ( 例 10011011160). Z 
の 本 で は 、 バ イナ リ 番 号 の た め に 本 の 中 で 一 貫 し て "0b" と いう 接頭 辞 を 使用 し よう と し 


16 進 数 の 先頭 に は 、Cpp や 他 の PL : 0x1234ABCD の 接頭 辞 「0x」 が 付加 され て いま す 。 あ 
る い は 、"h" 接尾 辞 1234ABCDh が 与え られ ます 。 こ れ は アセ ン ブ ラ と デバ ッ ガ で それ ら 
を 表現 する 一 般 的 な 方 法 で す 。 この 規則 で は 、 数 字 が Latin (A..F) 桁 で 始ま る 場合 、 先 頭 
に 0 が 追加 され ます (0ABCDEFh)。ABCD の よう な $ 接 頭 辞 を 使っ て 8 ビッ ト の 家庭 用 コン 
ピュ ー タ 時 代 に 普及 し た 大 会 も あり まし た 。 こ の 本 は 16 進 数 の た め に 本 の 中 に "0x"” と い 
う プ レフ ィ ッ クス を 付け よう と し ます 。 


数 字 を 精神 的 に 変換 する こと を 学ぶ べき で し ょ うか ?1 桁 の 16 進 数 の 表 を 簡単 に 記憶 で き 
ます 。 大 き な 数 字 に つい て は 、 お そら く 自 分 自身 を 苦し め る 価値 は あり ませ ん 。 


お そら く 最 も 目 に 見 える 16 進 数 は URL に あり ます 。 こ れ は 非 ラ テン 文字 が コー ド 化 さ 
れる 方 法 で す 。 た と えば https : //en .wiktionary .0r9/w1k1/nasC3%AFvet%C3%A9 は 、 
「naivete」 と いう 単語 に 関す る Wiktionary の 記事 の URL*+ で す 。 


8 進数 


コン ピュ ー タ プロ グラ ミン グ の 過去 に 多用 され た 別 の 数 字 シ ステ ム は 8 進数 で ある 。 8 進数 
で は 8 桁 (0..7) で あり 、 そ れ ぞ れ が 3 ビッ ト に マッ ピン グ さ れる の で 、 数 値 を 前 後に 変換 
する の は 簡単 で す 。 ほ ぼ す べ て の 場所 で 16 進 法 に 取っ て 代わ られ て いま す が 、 和 驚く べき こ 
と に 、 多 く の 人 が 頻繁 に 使う *NIX ユ ー テ ィ リ ティ が あり ます 。 こ れ は 引数 と し て 8 進数 を 
と り ま す (chmod)。 


多く の * NIX ユ ー ザ ー が 知っ て いる よう に 、chmod 引数 は 3 桁 の 数 字 に する こと が で きま 
す 。 最 初 の 桁 は ファ イル 所 有 者 の 権利 (読み 込み 、 書 き 込み 、 実 行 ) を 表し 、2 番 目 は ファ 
イル が 属す る グル ー プ の 権利 で 、3 番 目 は 他 の 人 の 権利 で す 。chmod が と る 各 数 字 は バイ 
ナリ 形式 で 表す こと が で きま す : 


decimal | binary | meaning 
7 111 rwx 

6 110 rw- 

5 101 r-x 

4 100 r-- 

3 011 -wx 
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l0https://gcc.gnu.org/onlinedocs/gcc/Binary-constants.html 
11Uniform Resource Locator 


2 010 -w- 
1 001 --x 
0 000 --- 


し た が っ て 、 各 ビッ ト は フラ グ read / write / execute に マッ プ さ れ ま す 。 


ここ で chmod の 重要 性 は 、 引 数 の 整数 全体 を 8 進数 で 表現 で きる こと で す 。chmod 644 
file を 実行 する と 、 所 有 者 の 読み 取り / 書 き 込 み 権限 、 グ ルー プ の 読み 取り 権限 、 他 の ユ 
ー ザ ー の 読み 取り 権限 が 再度 設定 され ます 。 8 進数 644 を 2 進数 に 変換 する と 、110100106、 
また は 3 ビッ ト の グル ー プ で 110 100 199 に な り ま す 。 


各 ト リプ レッ ト は 所 有 者 / グ ルー プ / そ の 他 の パー ミッ ショ ン を 記述 し て いま す 。 最初 は 
rw-、2 番 目 は r- -、3 番 目 は r- - で す 。 


8 進数 字 シ ステ ム は 、PDP-8 の よう な 古い コン ピュ ー タ で も 人 気 が あ り ま し た 。 なぜなら 、 
そこ に は 12,.24、 ま た は 36 ビ ッ ト が 存在 する 可能 性 が あり 、 こ れ ら の 数 値 は すべ て 3 で 割 
り 切 れる か ら で す 。 今日 、 普 及 し て いる すべ て の コン ピュ ー タ は 16,32,.64 ビ ッ ト の ワー 
ド / ア ドレ ス サ イ ズ を 使用 し て お り 、 こ れ ら の 数 値 は すべ て 4 で 割り 切れ る た め 、16 進 数 の 
シス テム は より 自然 で す 。 


すべ て の 標準 Cpp コ ン パ イラ で サポ ー ト され て いま す 。 こ れ は 混乱 の 原因 と な る こと が あ 
り ま す 。 な ぜ な ら 、 進 数 は ゼロ の 前 に 付加 され て いま す (0377 は 255 な ど )。 時 に は 、 タ 
イプ ミス を し て 9 の 代わ り に "09" と 書く こと が あり ます 。GCC は 次 の よう な こと を 報告 す 
る か も し れ ま せん : error: 無効 な 数 字 "9" は 8 進 定数 で す 


また 、8 進 数 の シス テム は 、java で は や や 人 気 が あ り ま す 。IDA が 印刷 不可 能 な 文字 を 含 
む java 文 字 列 を 表示 する と 、16 進 数 で は な く 8 進 数 で エン コー ド さ れ ま す 。」AD java デ コ 
ン パ イラ も 同じ よう に 動作 し ます 。 


除算 能 


120 の よう な 10 進 数 を 見 る と 、 最 後 の 桁 が ゼロ で ある た め 、itfs を 10 で 割り 切れ る と すぐ 
に 推論 する こと が で きま す 。 同様 に 、 最 後 の 2 桁 が 0 で ある た め 、123400 は 100 で 割り 切 
れる 。 同様 に 、16 進 数 の 0x1230 は 0x10 (また は 16) で 割り 切れ 、0x123000 は 0x1000 
(また は 4096) で 割り 切れ る 


バイ ナリ 番号 Ob1000101000 は 0b1000 (8) な ど で 割 り 切 れ ま す 。 こ の プロ パテ ィ は 、 メ 
モリ 内 の 一 部 の ブロ ッ ク の サイ ズ が ある 境界 に 埋め 込ま れ て いる か どう か を 素早 く 認 識 
する た め に よく 使用 され ます 。 た と えば 、PE12 フ ァイル の セク ショ ン は 、 ほ と ん どの 場 
合 、0x41000、0x10001000 な ど 3 つ の 16 進 ゼロ で 終わ る アド レス で 開始 され ます 。 こ れ 
は 、 ほ と ん どす べ て の PE+* セ クシ ョ ン が 0x1000 (4096) バイ ト の 境界 に パ デ ィ ン グ され 
て いる た めで す 。 


多 精 度 算術 演算 と 基数 


多 精 度 算術 演算 で は 膨大 な 数 を 使用 で き 、 そ れ ぞ れ が 数 バイ ト で 格納 され ます 。 た と えば 、 
公開 鍵 と 秘密 鍵 の 両方 の RSA 鍵 は 、 最 大 4096 ビ ッ ト に 及 ん で いま す 。 


12portable Executable 


7 
[Donald E. Knuth, The Art of Computer Programming, Volume 2, 3rd ed., (1997), 
265] に お いて 、 我 々 は 多 バ イト 数 で 多 倍 精度 の 数 値 を 格納 する と き 、 整 数 を 表す こと が で 
きる 28 = 256 の 基数 を 有する も の と し て 、 各 桁 は 対応 する バイ ト に 進む 。 同 様 に 、 複 数 の 
精度 の 数 値 を 複数 の 32 ビ ッ ト の 整数 値 に 格納 する と 、 各 桁 は 32 ビ ッ ト の 各 ス ロッ ト に 移 
動 し 、 こ の 数 値 は 基数 232 に 格納 され て いる と 考え る こと が で きま す 。 


非 小数 点 の 発音 方 法 


非 小数 点 の 基数 の 数 字 は 、 通 常 、 桁 で 数 字 に よっ て 発音 され ます 。 イ チ ・ ゼ ロ ・ ゼ ロ ・ 
チ ・ イ チ 。10 や 1000 の よう な 言葉 は 、 小 数 点 の 基本 シス テム と の 混同 を 避け る た め に 、 
常 は 発音 され ませ ん 。 


ш へ 


浮動 小数 点数 

浮動 小数 点数 を 整数 か ら 区 別 す る た め に 、 浮動 小数 点数 は 通常 0.0, 123.0 な どの 末尾 に .0 で 
書か れ て いま す 。 

第 1.3 節 空 関数 

可能 な 限り 単純 な 関数 は 、 何 も し な い 関 数 で す 。 


Listing 1.1: Japanese text placeholder 


void f() 
{ 


}; 


return; 


コン パイ ル し まし ょ う ! 


第 1.3.1 節 x86 


x86 プ ラッ ト フ ォ ー ム 上 で GCC コン パイ ラ と MSVC コ ン パ イラ の 両方 の 生成 物 は 次 の と お 
り で す 。 


Listing 1.2: 最適 化 GCC/MSVC (アセ ン ブ リ 出力 ) 


ret 


ВЕТ 命令 の み で す 。 caller に 戻る 命令 で す 。 


第 1.3.2 節 ARM 
Listing 1.3: 最適 化 Keil 6/2013 (ARM モ ー ド ) アセ ン ブ リ 出力 
f PROC 
BX tr 
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リタ ー ン アド レス は ARM ISA の ロー カル スタ ッ ク に は 保存 され ず 、 リ ンク レジ スタ に 保存 
され る た め 、BX LR 命令 は 実行 を を の アド レス に ジャ ンプ させ る た め 、caller へ の 実行 が 
効果 的 に 戻り ます 。 


第 1.3.3 節 MIPS 


レジ スタ の 命名 に は 、 数 値 (0031) また は 擬似 名 (Vo AO な ど ) の 2 つの 命名 規則 が MIPS の 
世界 で 使用 され て いま す 。 


以下 の GCC アセ ン ブ リ 出力 は 、 レ ジス タ を 番号 順に リス ト し て いま す 。 
Listing 1.4: 最適 化 GCC 4.4.5 (アセ ン ブ リ 出力 ) 


j $31 
nop 


IDA? は 疑似 名 を 使い ます 
Listing 1.5: 最適 化 GCC 4.4.5 (IDA) 


j $ra 
nop 


最初 の 命令 は 、 実行 フロ ー を caller に 返す ジャ ンプ 命令 (( ま た は jR) G. $31 (また は $RA) 
レジ スタ の アド レス に ジャ ンプ し ます 。 


これ は ARM の LR*“ に 類似 し た レジ スタ で す 。 
2 番目 の 命令 は NOP や で 、 何 も し ませ ん 。 私 た ち は 今 それ を 無視 する こと が で きま す 。 


MIPS 命 令 と レジ スタ 名 に つい て の 注意 
MIPS の 世界 で は 、 レ ジス タ と 命令 の 名 前 は 、 伝 統 的 に 小文字 で 書か れ て いま す 。 LAL, 
一 貫 性 を 保つ た め に 、 こ の 本 は 大 文字 の 使用 で 通し ます 。 
第 1.3.4 節 実際 の 空 関数 
空 の 関数 は 役に立た な いよ うに 見 えま す が 、 低 レベ ル の コー ド で は 頻繁 に 使用 され ます 。 
まず 第 一 に 、 次 の よう な デバ ッ グ 機能 で と て も ポピュラー で す 。 

Listing 1.6: C/C++ Code 


void dbg print (const char *fmt, ...) 


{ 
#ifdef DEBUG 
// open log file 
// write to log file 
// close log file 
#endif 


13 Hex-Rays に よっ て 開発 され た イン タラ クティ ブ な ディ ス ア セン ブラ ・ デ バッ ガ 
14Link Register 
15No Operation 


}; 
void some function( ) 
{ 
dbg_print ("we did somethingNn"); 
}; 


非 デ バッ グ ビ ル ド で は (greleaseh の よう に )、DEBUG は 定義 され て いな い の で 、dbg_print( ) 
関数 は 実行 中 に 呼び 出さ れ て いる に も か か わら ず 、 空 に な り ま す 。 

同様 に 、 ソ フト ウェ ア 保 護 の 一 般 的 な 方 法 は 、 合 法 な 顧客 向け に 1 つの ビル ド を 作成 し 、 他 
に は デモ ビル ド を 作成 する こと で す 。 デ モビ ルド に は 、 こ の 例 の よう に いく つか の 重要 な 
機能 が 欠け て いま す 。 


Listing 1.7: C/C++ Code 


void save file () 


{ 
#ifndef DEMO 
// a real saving code 
#endif 
}; 


save fite( ) 関数 は 、 ユ ー ザ ー が メニ ュー の File->Save を クリ ッ ク す る と 呼び 出す こ 
と が で きま す 。 デ モ 版 は 、 こ の メニ ュー 項目 を 無効 に し て お 届け で きま す が 、 ソ フト ウェ 
アク ラッ カー が 有効 に し て も 、 役 に 立つ コー ド の な い 空 の 関数 だ けが 呼び 出さ れ ま す 。 


IDA は 、nuttsub 00. nullsub 01 な どの 名 前 で この よう な 機能 を マー ク し ます 。 


第 1.4 節 戻り 値 
も う 1 つ の 単純 な 関数 は 、 単 に 定数 値 を 返す 関数 で す 。 
Listing 1.8: Japanese text placeholder 
int f() 
t 
return 123; 
}; 


コン パイ ル し て み ま し ょ う 。 


第 1.4.1 節 x86 


ここ で は 、GCC コ ン パ イラ と MSVC コ ン パ イラ の 両方 で x86 プ ラッ ト フ ォ ー ム 上 で (最適 
化 を 使用 し て ) 生成 され る も の を 示し ます 。 
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Listing 1.9: 最適 化 GCC/MSVC (アセ ン ブ リ 出力 ) 


mov eax, 123 
ret 


命令 は た っ た 2 つ で す : 最初 に 値 123 を ЕАХ レジ スタ に 入れ ます 。 これ は 戻り 値 を 格納 す 
る た め に 慣例 に よっ て 使用 され 、2 つ 目 は caller に 実行 を 返す RET で す 。 


呼び 出し 元 は EAX レジ スタ か ら 結 果 を 取得 し ます 。 


第 1.4.2 節 ARM 
ARM プ ラッ ト フ ォ ー ム に は いく つか の 違い が あり ます 。 
Listing 1.10: 最適 化 Keil 6/2013 (ARM モ ー ド ) ASM Output 


f PROC 
MOV r0,#0x7b ; 123 
BX tr 
ENDP 


ARM は 関数 の 結果 を 返す ため に レジ スタ RQ を 使用 する た め 、123 が RO に コピ ー さ れ ま 


o 


MOV は 、x86 と ARM の ISA の 両方 で 命令 の 誤解 を 招く 名 前 で ある こと に 注意 する 価値 が あ 
り ま す 。 


デー タ は 実際 に は 移動 され ませ ん が 、 コ ピー され ます 。 


第 1.4.3 節 MIPS 
以下 の GCC アセ ン ブ リ 出力 は 、 レ ジス タ を 番号 順に リス ト し て いま す 。 
Listing 1.11: 最適 化 GCC 4.4.5 (アセ ン ブ リ 出力 ) 


j $31 
li $2,123 # Ox7b 


IDA は 擬似 名 で リス ト し ます 
Listing 1.12: 最適 化 GCC 4.4.5 (IDA) 


jr $ra 
li $v0, Ox7B 


$2 (また は $V0) レジ スタ は 、 関 数 の 戻り 値 を 格納 する た め に 使用 され ます 。LI は 「 即 
時 ロー ド 」 を 表し 、MOV に 相当 する MIPS で す 。 


も う 1 つ の 命令 は 、 実 行 フ ロー を caller に 返す ジャ ンプ 命令 また は JjR) CT. 


ロー ド 命 令 (LI) と ジャ ンプ 命令 (」 ま た は JR) の 位置 が 入れ 替え られ た の は な ぜ だ ろう か 。 
これ は 、“branch delay slot” と 呼ば れる RISC 機 能 が 原因 で す 。 
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これ が 起こ る 理由 は 、 い くつ か の RISC ISA の アー キテ クチ ャ ー で は 奇抜 で あり 、 私 た ちの 
目的 に と っ て 重要 で は あり ませ ん 。 MIPS で は 、 ジ ャ ンプ 命令 また は 分 岐 命令 に 続く 命令 は 、 
ジャ ンプ / 分 岐 命令 自体 の 前 に 実行 され る 。 
結果 と し て 、 分 岐 命令 は 、 直 前 に 実行 され た 命令 で 常に 場所 を 入れ 替え る 。 
実際 に は 、 単 に 1 ( 真 ) また は 0 (А) を 返す 関数 は よく 使わ れ ま す 。 
標準 の UNIX ユ ー テ ィ リ ティ で ある /bin/true  /bin/false の 中 で も 最小 の も の が それ ぞ 


れ 0 と 1 を 終了 コー ド と し て 返し ます 。 (ゼロ は 終了 コー ド と し て 通常 成功 を 意味 し 、 ゼ ロ 
以外 は エラ ー を 意味 し ます )。 


第 1.5 人 節 ハ ロー ワー ルド ! 


[Brian W. Kernighan, Dennis M. Ritchie, The C Programming Language, 2ed, (1988)] 
と いう 本 の 有名 な 例 を 使っ て み ま し ょ う 


Listing 1.13: C/C++ Code 


#include <stdio.h> 


int main() 

{ 
printf("hello, worldNn"); 
return 0; 


第 1.5.1 節 x86 
MSVC 
MSVC 2010 で コン パイ ル し て み ま し ょ う 。 


ct 1.cpp /Fa1.asm 


(/Fa オプ ショ ン は 、 ア セン ブリ リス ト フ ァイル を 生成 する よう に コン パイ ラ に 指示 し ま 
す ) 


Listing 1.14: MSVC 2010 


CONST SEGMENT 

$563830 DB ‘hello, world', OAH, 00H 
CONST ENDS 

PUBLIC _main 

EXTRN printf:PROC 

; Function compile flags: /Odtp 

TEXT | SEGMENT 


main PROC 
push ebp 
mov ebp, esp 


push OFFSET $SG3830 
call _printf 
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add esp, 4 
xor eax, eax 
pop ebp 
ret 0 

main ENDP 

_ TEXT ENDS 


MSVC は 、Intel 構 文 で アイ センブリ リス ト を 生成 し ます 。 Intel 構 文 と AT&T 構 文 の 違い に つい 
て は 、1.5.1 on page 14 で 説明 し ます 。 


コン パイ ラ は 、1.exe に リン ク さ れる 1.0bj と いう ファ イル を 生成 し まし た 。 私 た ちの 
場合 ファ イル に は CONST (デー タ 定 数 用 ) と TEXT (コー ド 用 ) の 2 つの セグ メン ト が 
含ま れ て いま す 。 


C/C++ の 文字 列 hello, world に は 、const char[][Bjarne Stroustrup, The C++ Programming 
Language, 4th Edition, (2013)p176, 7.3.2] 型 が あり ます が 、 独自 の 名 前 は あり ませ ん 。 

コン パイ ラ は 何ら か の 形 で 文字 列 を 処理 する 必要 が ある た め 、 内 部 名 $SG3830 を 定義 し 

ます 。 


その た め 、 こ の 例 は 次 の よう に 書き 換え られ ます 。 


#include <stdio.h> 


const char $SG3830[]="hello, worldNn"; 


int main() 

{ 
printf($SG3830); 
return 0; 

} 


アセ ン ブ リ リス ト に 戻り まし ょ う 。 わ か る よう に 、 文 字 列 は C/C++ 文字 列 の 標準 で あ 
る NULL バイ ト で 終了 し ます 。C/C++ 文字 列 の 詳細 は : ?? on page ?? 


TEXT と いう コー ド セ グ メン ト で は 、nmain( ) 関数 が 1 つ し か あり ませ ん 。 関 数 man( ) 
は 、 プ ロロ ー グ コー ド で 始ま り 、 エ ピロ ー グ コー ド で 終わ り ま す (ほぼ すべ て の 関数 の よ 
うに ) 2 

関数 の プロ ロー グ の 後に 、printf() 関数 の 呼び 出し が あり ます 。CALL printf. 呼び 
出し の 前 に 、PUSH 命令 の 助け を 借り て 、 挨 拶 を 含む 文字 列 ア ドレ ス (また は その ポイ ン 
タ ) が スタ ッ ク に 置か れ ま す 。 

printf( ) 関数 が main( ) 関数 に 制御 を 返す と 、 文 字 列 ア ドレ ス (また は その ポイ ンタ ) 
は まだ スタ ッ ク 上 に あり ます 。 も は や 必要 が な い の で 、 ス タッ ク ポ イン タ (ESP レ ジス タ ) 
を 修正 する 必要 が あり ます 。 


ADD ESP, 4 は ESP レジ スタ 値 に 4 を 加算 する こと を 意味 し ます 。 


な ぜ 4? これ は 32 ビ ッ ト プ ログ ラム な の で 、 ス タッ ク を 通過 する アド レス に は 正確 に 4 バ 
イト が 必要 で す 。x64 コ ー ド の 場合 は 8 バイ ト 必 要 で す 。ADD ESP, 4 は POP register 
と 事実 上 同等 で す が 、 レ ジス タ を 使用 し ませ ん 7 


16 プ ロロ ー グ と エピ ロー グ 関 数 に つい て の セク ショ ン で は 、 詳 細 を 見 て いき ます (1.6 on page 38) 
17CPU flags, however, are modified 


13 
同じ 目的 の た め に 、 イ ン テ ル C++ エ コンパ イラ の よう な コン パイ ラ の 中 に は 、ADD の 代わ 
り に POP ECX を 発行 する も の も ある (例え ば 、 イ ン テ ル C++ コ ン パ イラ で コン パイ ル さ 
れ て いる の で 、 こ の よう な パタ ー ン は Oracle RDBMS コー ド で 見 る こと が で きる ) 。 こ 

の 命令 は ほとん ど 同 じ 効 果 を 持ち ます が 、ECX レジ スタ の 内 容 は 上 書き され ます 。 インテ 
ル C++ エ コンパ イラ は 、 こ の 命令 命令 コー ド が ADD ESP, x (POP の 場合 は 1 バイ ト 、ADD 
の 場合 は 3 バイ ト ) より も 短い た め 、POP ECX を 使用 する と 思わ れ ま す 。 


Oracle RDBMS か ら ADD の 代わ り に POP を 使用 する 例 を 次 に 示し ます 。 
Listing 1.15: Oracle RDBMS 10.2 Linux (app.o file) 


.text:0800029A push ebx 
.text:0800029B call qksfroChitd 
. text: 080002A0 pop ecx 


printf() を 呼び 出し た 後 、 元 の C/C++ コー ド に は 、 main( ) 関数 の 結果 と し て return 
0 と いう ステ ー ト メン ト が 含ま れ て いま す 。 


生成 され た コー ド で は 、 こ れ は 命令 XOR EAX, EAX に よっ て 実装 され ます 。 


XOR は 実際 に は [eXclusive OR] 8 で す が 、 コ ン パ イラ で は MOV EAX, 0 の 代わ り に 使 
用 され る こと が よく あり ます 。 もう少し 短い オペ コー ド (MOV の 場合 は 5 に 対し て XOR の 
合 は 2 バイ ト ) で ある か ら で す 。 
ー 部 の コン パイ ラ は SUB EAX, БАХ を 出力 し ます 。 こ れ は 、EAX の 値 を EAX の 値 か ら = 
し 引く こと を 意味 し ます 。 それ は どん な 場合 で も ゼロ に な り ま す 。 


最後 の 命令 RET は 、 caller に 制御 を 返し ます 。 通常 、 こ れ は C/C++ CRT? コ ー ド で あり 、 こ 
れ は OS に 制御 を 戻し ます 。 
GCC 


Linux の GCC 4.4.1 コ ン パ イラ と 同じ C/C++ コー ド を コン パイ ル し て み ま し ょ う : gee 
l.c -o 1 次 に 、IDA 逆 ア セン ブラ の 助け を 借り て 、 ど の よう に main( ) 関数 が 作成 され 
る の か を 見 て いき まし ょ う 。IDA は 、MSVC と 同様 に 、Intel-syntax を 使用 し ます 。 ぐ ? 


Listing 1.16: code in IDA 


main proc near 

var_10 = dword ptr -10h 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 10h 
mov eax, offset aHelloWorld ; "hello, world^n" 
mov [esp+10h+var 10], eax 
call  printf 
mov eax, 0 

18Wikipedia 


19C Runtime library 
20.5 -masm=intel オプ ショ ン を 適用 する こと で 、Intel 構 文 で GCC の アセ ン ブ リ リス ト を 生成 させ る こと も で 
きま す 
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leave 
retn 
main endp 


結果 は ほぼ 同じ で す 。hello の ワー ルド 文字 列 (デー タ セ グ メ ント に 格納 され て いる ) の ア 
ドレ ス は 、 最 初 に EAX レ ジス タ に ロー ド さ れ 、 ス タッ ク に 保存 され ます 。 


さら に 、 関 数 プロ ロー グ に は AND ESP, OFFFFFFFOh が あり ます 。 こ の 命令 は 、ESP レジ 
スタ 値 を 16 バ イト の 境界 に 揃え ます 。 こ の 結果 、 ス タッ ク 内 の すべ て の 値 が 同じ 方 法 で 整 
列 さ れ ま す (処理 中 の 値 が 4 バイ ト 境 界 ま た は 16 バ イト 境界 に 整 別 し た アド レス に ある 場 
合 、CPU の パフォー マン ス は 向上 し ます )。 


SUB ESP, 10h は スタ ッ ク に 16 バ イト を 割り 当て ます 。 し か し 、 私 た ち は こ れ か ら 見 る よ 
うに 、 こ こ で は 4 つ だ けが 必要 で す 。 


これ は 、 割 り 当 て られ た スタ ッ ク の サイ ズ も 16 バ イト の 境界 に 揃え られ て いる た めで す 。 
文字 列 ア ドレ ス (また は 文字 列 へ の ポイ ンタ ) は 、PUSH 命令 を 使用 せ ず に スタ ッ ク に 直接 
格納 され ます 。var 10 は ロー カル 変数 で あり 、printf ( ) の 引数 で も あり ます 。 そ れ に つ 
いて 下記 を 読ん で くだ さい 。 

printf( ) 関数 が 呼び 出さ れ ま す 。 

MSVC と 異な り 、GCC は 最適 化 を オン に し な いで コン パイ ル す る と 、 よ り 短 い オ ペコ ー ド 
の 代わ り に MOV EAX, 0 を 発行 し ます 。 

最後 の 命令 、LEAVE は 、MOV ESP, EBP、 お よび РОР ЕВР 命令 ペア と 同等 で す 。 言い 換 
えれ ば 、 こ の 命令 は スタ ッ ク ポ イン タ (ESP) を 戻し 、EBP レジ スタ を 初期 状態 に 戻す 。 こ 
れ は 、 こ れ ら の レジ スタ 値 (ESP と ЕВР) を 関数 の 始め に (MOV EBP, ESP / AND ESP, 
„ を 実行 する こと に よっ て ) 変更 し た の で 必要 で す 。 


GCC: AT&T 構 文 


これ を アセ ン ブ リ 言語 の AT&T 構 文 で どの よう に 表現 で きる か を 見 て み ま し ょ う 。 こ の 構 
文 は UNIX の 世界 で ずっ と 人 気 が あ り ま す 。 


Listing 1.17: let’s compile in GCC 4.7.3 


gcc -S 1 l.c 


下記 を 得 ます 。 
Listing 1.18: GCC 4.7.3 


. file "1 l.c" 


.section . rodata 
.LC0: 

.string "hello, worldNn" 

.text 

.globl main 

‚туре main, @function 
main: 
.LFBO: 


.cfi_startproc 
pushl %ebp 
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.Cfi def cfa offset 8 
.Cfi offset 5, -8 
movl %esp, %ebp 
.Cfi def cfa register 5 
andl $-16, %esp 
subl $16, %esp 
movl $.LC0, (%esp) 
call printf 
movl $0, %eax 
leave 
.Cfi restore 5 
.Cfi def cfa 4, 4 
ret 
.Cfi endproc 
.LFEO: 
.size main, .-main 
.ident "GCC: (Ubuntu/Linaro 4.7.3-lubuntul) 4.7.3" 
.section .note.GNU-stack,"",@progbits 


リス ト に は 、 多 く の マ クロ (ドッ ト で 始ま る 部 分 ) が 含ま れ て いま す 。 現時点 で は 興味 深 
いも の で は あり ませ ん 。 


今 の と ころ 、 簡 単に する た め 、 無 視 し て も か まい ませ ん (C 言 語 の 文字 列 の よう に 終端 文 
字 列 を エン コー ド す る .string マク ロ を 除く )。 そ れ か ら こ れ を 見 て み ま し ょ う 。^ 


Listing 1.19: GCC 4.7.3 


.LC0: 
.string "hello, worldNn" 
main: 
pushl %ebp 
movl %esp, %ebp 
andt $-16, %esp 
subl $16, %esp 
movl $.LC0, (%esp) 
call printf 
movl $0, %eax 
leave 
ret 


イン テル と AT&T 構 文 の 主 な 違い の いく つか は 次 の と お り で す 。 
・ ソ ー ス オペ ラン ド と デス ティ ネー ショ ン オ ペラ ンド は 逆 の 順序 で 記述 され ます 。 
イン テル 構文 で は : < 命令 > < デス ティ ネー ショ ン ・ オ ペラ ンド > < ソー ス ・ オ ペラ 
`> F> 
AT&T 構 文 の 場合 : < 命令 > < ソー ス オ ペ ラン ド > < デス ティ ネー ショ ン オ ペラ ンド > 
違い を 覚え る の は 簡単 な 方 法 で す : イン テル 構文 を 扱う と き 、 オ ペラ ンド 間 に 等 号 
(=) が あり 、AT&T-syntax を 扱う と き に 右 矢印 (5) が ある と 想像 し て くだ さい 。<< 


21 と の GCC オプ ショ ン は 「 不 要 な 」 マク ロ を 削除 する た め に 使用 で きま す : -fno-asynchronous-unwind-tables 

22 と ころ で 、 い くつ か の C 標 準 関数 (例え ば 、memcpy()、strcpy()) で は 、 イ ン テ ル 構文 と 同じ 方 法 で 引数 が 
リス ト さ れ て いま す 。 ま ず 、 デ ステ ィ ネ ーション メモ リブ ロッ ク へ の ポイ ンタ 、 次 に ソー ス メ モ リブ ロッ ク へ の 
ポイ ンタ で す 
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・ AT&T: レジ スタ 名 の 前 に は パー セン ト 記 号 (%) を 、 数 字 の 前 に は ドル 記号 ($) を 書 
く 必 要 が あり ます 。 角 カッ コ の か わり に 丸 カ ッ コ が 使用 され て いま す 。 
・ AT&T: オペ ラン ドサ イズ を 定義 する 命令 に 接尾 辞 が 追加 され ます 
- q — quad (64 bits) 
- | — long (32 bits) 
- w — word (16 bits) 
- b — byte (8 bits) 
コン パイ ル 結 果 に 戻る に は 、IDA が 表示 し た 結果 と ほぼ 同じ で す 。 微妙 な 違い が 1 つ あ り 
ます 。 OFFFFFFFOh は $-16 と し て 表示 され ます 。 こ れ は 同じ こと で す : 10 進 数 の 16 
は 16 進 数 で 0x10 で す 。-0x10 は OxFFFFFFFO に 等 し く な り ま す (32 ビ ッ ト デ ー タ 型 の 


場合 )。 


も う 1 つ : 戻り 値 は 、X0R で は な く 通 常 の MOV を 使用 し て 0 に 設定 され ます 。MOV は レジ 
スタ に 値 を ロー ド す る だ け で す 。 誤 っ て つけ られ た 名 前 で す (デー タ は 移動 せ ず 、 コ ピー 
され る た め )。 他 の アー キテ クチ ャ で は 、 こ の 命令 の 名 前 は 「LOAD」 ま た は 「STORE」 な 
ど と 同様 で す 。 


文字 列 の パッ チ (Win32) 


Hiew を 使用 し て 、 実 行 可能 ファ イル 内 の "hello, world” 文字 列 を 簡単 に 見 つけ る こと が 
で きま す : 


Hiew: hw_spanish.exe 


PE+.00000991` 40003000 Hiew 8.02 


1.1: Hiew 


メッ セー ジ を スペ イン 語 に 翻訳 し よう と する こと が で きま す 


Hiew: EPP i G = EPP i G = exe 


C:\tmp\hw_spanish.exe BIFWO EDITMODE PE+ 00000000 0000120D|Hiew 8.02 


1.2: Hiew 


スペ イン 語 の テキ スト は 英語 より 1 バイ ト 短 く な っ て いる の で 、 最 後に Ox0A バ イト (Nn) 
に 続け て NULL バイ ト を 追加 し まし た 。 


うま くい きま し た 。 

より 長い メッ セー ジ を 挿入 する 場合 は どう すれ ば よい で すか ? 元 の 英語 テキ スト の 後に 
は 、 ゼロ バイ ト が いく つか あり ます 。 上 書き で きる か どう か は な ん と も 言え ませ ん : CRT コ 
ー ド の どこ か で 使わ れる か も し れ な いし 、 そ う で な いか も し れ ま せん 。 と に か く 、 自 分 が 
行っ て いる こと を 本 当 に 知っ て いれ ば 、 そ れ ら を 上 書き する だ け で す 。 

文字 列 の パッ チ (Linux x64) 

rada.re を 使っ て Linux x64 実 行 フ ァイル に パッ チ を 当て て み ま し ょ う 


Listing 1.20: rada.re session 


dennis@bigbox ~/tmp % gcc hw.c 


dennis@bigbox ~/tmp % radare2 a.out 
-- SHALL WE PLAY A GAME? 
[0x00400430]» / hello 
Searching 5 bytes from 0x00400000 to 0x00601040: 68 65 6c 6c 6f 
Searching 5 bytes in [0x400000-0x601040] 
hits: 1 
0x004005c4 hitO © .HHhello, world;0. 


[0х004004301> s 0x004005c4 


[0x004005c4]» px 


- offset - 01 23 45 67 89 AB CD EF 0123456789ABCDEF 
0x004005c4 6865 6c6c 6f2c 2077 6f72 6c64 0000 0000 hello, world. 

0x004005d4 011b 033b 3000 0000 0500 0000 1cfe ffff Oi р. 
0x004005e4 7c00 0000 5cfe ffff 4c00 0000 52ff ffff Еее 
0x004005f4 a400 0000 6cff ffff c400 0000 dcff ffff ....l........... 
0x00400604 0c01 0000 1400 0000 0000 0000 017a 5200 ............. ZR. 
0x00400614 0178 1001 1b0c 0708 9001 0710 1400 0000 .x.............. 
0x00400624 1с00 0000 08fe ffff 2a00 0000 0000 0000 ........ РРО 
0x00400634 0000 0000 1400 0000 0000 0000 017a 5200 ............. 2А. 


0x00400644 0178 1001 1b0c 0708 9001 0000 2400 0000 .x.......... ез» 
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0x00400654 1с00 0000 98fd ffff 3000 0000 000e 1046 ........ СНЕ F 
0x00400664 0е18 4a0f 0b77 0880 003f la3b 2a33 2422 ..J..w...?.;*3$" 
0x00400674 0000 0000 1c00 0000 4400 0000 a6fe ffff  ........ Dc sens 
0x00400684 1500 0000 0041 0e10 8602 430d 0650 0c07 ..... Assis Poss 
0x00400694 0800 0000 4400 0000 6400 0000 a0fe ffff  ....D...d....... 
0x004006a4 6500 0000 0042 0e10 8102 420e 188e 0345 e....B....B....E 
0x004006b4 0e20 8404 420e 288c 0548 0e30 8606 480e . ..B.(..H.0..H. 


[0x004005c4]» оо+ 
File a.out reopened in read-write mode 


[0x004005c4]» w hola, mundoNx00 
[0x004005c4]» q 


dennis@bigbox -/tmp も ./a.out 
hola, mundo 


ここ で は 何 が 起こ っ て いる の : 私 は / コ マン ド を 使用 し て 「hello」 文 字 列 を 検索 し 、 そ の 
アド レス に カー ソル (rada.re 用 語 で シー ク ) を 設定 し ます 。 次 に 、 こ れ が 本 当 に その 場 
所 で ある こと を 確か め た い : px が ダン プ し ます 。 oo+ は rada.re を 読み 書き モー ド に 切り 
替え ます 。w は 現在 の シー ク 時 に ASCII 文 字 列 を 書き 込み ます 。 最 後 の \00 に 注意 し て くだ 
さい 。 これ は NULL バイ ト で す 。q で 終了 し ます 。 


MS-DOS 時 代 に お ける ソフ トウ ェ ア の ロー カラ イズ 
この や り 方 は 、1980 年 代 と 1990 年 代 に MS-DOS ソ フト ウェ ア を ロシア 語 に 翻訳 する 一 般 


的 な 方 法 で し た 。 ロシア 語 の 言葉 や 文章 は 、 英語 の 文章 と 比べ て 通常 若干 長い の で 、 ロ ー カ 
ライ ズ さ れ た ソフ トウ ェ ア に は 奇妙 な 頭字 語 や と て も 読み に くい 略語 が 含ま れ て いま す 。 


1.3: japanese text placeholder 


他 の 国 の 他 の 言語 で も 、 こ の 時 代 に 起き て いた こと で し ょ う 。 


第 1.5.2 節 x86-64 
MSVC: x86-64 
64 ビ ッ ト の MSVC も 試し て み ま し ょ う 。 
Listing 1.21: MSVC 2012 x64 


$SG2989 DB ‘hello, world', OAH, OOH 


main PROC 
sub rsp, 40 
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lea rcx, OFFSET FLAT:$SG2989 
call printf 
xor eax, eax 
add rsp, 40 
ret 0 
main ENDP 


x86-64 で は 、 す べ て の レジ スタ が 64 ビ ッ ト に 拡張 され まし た が 、 そ の 名 前 に は R-ZL 2 
ィ ッ クス が 付い て いま す 。 ス タッ ク を あま り 頻 繁 に 使用 し な いよ うに (言い 換え る と 、 外 
部 メモ リ / キ ャ ッシュ に アク セス する 頻度 を 減ら す )、 レ ジス タ (fastcall) ?? on page ?? を 
介し て 関数 引数 を 渡す 一 般 的 な 方 法 が あり ます 。 すなわち 、 関 数 の 引数 の 一 部 は レジ スタ 
に 渡さ れ 、 残 り は スタ ッ ク に 渡さ れ ま す 。Win64 で は 、4 つ の 関数 引数 が RCX 、RDX 、R8 
、 お よび R9 レジ スタ に 渡さ れ ま す 。 こ こ で 見 る も の は : printf( ) の 文字 列 へ の ポイ ン 
タ は スタ ッ ク に で は な く 、RCX レジ スタ に 渡さ れ ま す 。 ポ イン タ は 現在 64 ビ ッ ト で ある た 
め 、64 ビ ッ ト レ ジス タ (R- プ レフ ィ ッ クス を 持つ ) に 渡さ れ ま す 。 た だ し 、 下 位 互換 性 を 
保つ た め に 、E- 接頭 群 を 使用 し て 32 ビ ッ ト の パー ツ に アク セス する こと は 可能 で す 。 こ れ 
は 、 RAX/EAX/AX/AL レジ スタ が x86-64 の よう に 見 える 方 法 で す 。 


バイ ト の 並び 順 
第 7 | 第 6 | 第 5 | 第 4 | 第 3 | 第 2 | 第 1 | 第 0 
RAXX64 
EAX 
AX 
AH | AL 


main() 関数 は int 型 の 値 を 返し ます 。 これ は C/C++ で は 32 ビ ッ ト の まま で 、 下 位 互 換 
性 と 移植 性 を 向上 させ る た め 、 関 数 終了 時 に RAX レジ スタ の 代わ り に EAX レジ スタ が ク 
リア され る 理由 で す 。 (すなわち レジ スタ の 32 ビ ッ ト の 部 分 ) ロー カル スタ ッ ク に は 40 バ 
イト も 割り 当て られ て いま す 。 こ れ は 「 シ ャ ドー スペ ー ス 」 と 呼ば れ ま す 。 こ れ に つい て 
は 後 で 説明 し ます : 1.10.2 on page 126 


GCC: x86-64 
64 ビ ッ ト 環 境 の Linux で GCC を 試し て み ま し ょ う 。 
Listing 1.22: GCC 4.4.6 x64 


.string "hello, world\n" 


main: 
sub rsp, 8 
mov edi, OFFSET FLAT:.LCO ; "hello, world\n" 
xor eax, eax ; number of vector registers passed 
call printf 
xor eax, eax 
add rsp, 8 
ret 


Linux, *BSD& Мас OS X は 関数 引数 を レジ スタ に 渡す た め の メ ソ ッ ド も 使い ます : 
[Michael Matz, Jan Hubicka, Andreas Jaeger, Mark Mitchell, System V Application 


20 


Binary Interface. AMD64 Architecture Processor Supplement, (2013)] “3 
最初 の 6 つの 引数 は 、RD1, RSI, RDX, RCX, Ra お よび RO レジ スタ に 渡さ れ 、 残 り は スタ ッ 
ク を 介し て 渡さ れ ま す 。 

その た め 、 文 字 列 へ の ポイ ンタ は ED] (レジ スタ の 32 ビ ッ ト 部 分 ) に 渡さ れ ま す 。 な 
ぜ 64 ビ ッ ト 版 の RDI を 使用 し な い の で し ょ うか 。 

下位 の 32 ビ ッ ト レ ジス タ 部 分 に 何 か を 書き 込む 64 ビ ッ ト モ ー ド の すべ て の MV 命令 も 上 
位 32 ビ ッ ト を クリ ア す る こと が 重要 で す (イン テル マニ ュ ア ル : 8.1.4 on раде 564 を 参 
88), DWU, MOV EAX, 911223344h は 、 上 位 ビ ッ ト が クリ ア さ れる た め 、RAX に 値 を 
正しく 書き 込み ます 。 

コン パイ ル さ れ た オブ ジェ クト ファ イル (.o) を 開く と 、 す べ て の 命令 の オペ コー ド も 見 
る こと が で きま す 。 24: 


Listing 1.23: GCC 4.4.6 x64 


.text:00000000004004D0 main proc near 

.text:00000000004004D0 48 83 EC 08 sub rsp, 8 

.text:00000000004004D4 BF E8 05 40 00 mov edi, offset format ; "hello, 
world An" 

. text: 00000000004004D9 31 CO xor eax, eax 

.text:00000000004004DB E8 D8 FE FF FF call | printf 

.text:00000000004004E0 31 CO xor eax, eax 

.text:00000000004004E2 48 83 C4 08 add rsp, 8 

.text:00000000004004E6 СЗ retn 

.text:00000000004004E6 main endp 


C0 <£ Эіс. 0х4004р4 の EDI に 書き 込む 命令 は 5 バイ ト を 占有 し ます 。64 ビ ッ ト 値 を 
RDI に 書き 込む 同じ 命令 は 7 バイ ト を 占有 し ます 。 明らか に 、GCC は いく ら か の スペ ー ス 
を 節約 し よう と し て いま す 。 さ ら に 、 文 字 列 を 含む デー タ セ グ メ ント が 4GiB 以 上 の アド レ 
ス に 割り 当て られ な いこ と が 保証 され ます 。 

また 、printf( ) 関数 呼び 出し の 前 に EAX レジ スタ が クリ ア さ れ て いる こと が わか り ま 
す 。 上 記 の ABI2? 標 準 に よれ ば 、 使 用 され た ベク トル レジ スタ の 数 は x86-64 の *NIX シ ステ 
ム で EAX に 渡さ れる た めで す 。 


アド レス の パ バッチ (Win64) 


この 例 が /MD スイ ッ チ (MSVCR* .DLL ファ イル リン ケー ジ の た め に 小さ な 実行 可能 ファ イ 
ル を 意味 し ます ) を 使用 し て MSVC 2013 で コン パイ ル さ れ た 場合 、main( ) 関数 が 最初 に 
来 て 簡単 に 見 つか り ま す 


зр F で 利用 可能 https://software.intel.com/sites/default/files/article/402129/ 
mpx- Linux64- abi. pdf 

24 こ れ は オプ ショ ン > ディ ス ア セン ブル っ オペ コー ドバイ ト 数 で 有効 に な る は ず で す 

23 ア プリ ケー ショ ン ・ バ イナ リー・ イ ンタ フェ ー ス 
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"CX 


図 1.4: Hiew 


実験 と し て 、 ア ドレ ス を 1 ずつ イン クリ メン ト す る こと が で きま す : 


Hiew: hw2.exe 


__C:\tmp\hw2.exe EFUO -------- a64 PE+. 00000001" 40001008 |Hiew 8.02 (c)SEN _ 


( 


‘ello, v 


図 1.5: Hiew 


Hiew は Tello, world」 を 示し て いま す 。 そ し て パッ チ が 適用 され た 実行 可能 ファ イル を 実 
行 す る と 、 こ の 文字 列 が 表示 され ます 。 


バイ ナリ イメ ー ジ か ら 他 の 文字 列 を 抜き 取る (Linux x64) 


Linux x64 ボ ックス で GCC 5.4.0 を 使用 し て 私 た ちの 例 を コン パイ ル し た と き に 得 た バイ 
ナリ ファ イル に は 、 他 の 多く の テキ スト 文字 列 が あり ます 。 ほ と ん ど は イン ポー ト さ れ た 
関数 名 と ライ ブラ リ 名 で す 。 

objdump を 実行 し て 、 コ ン パ イル 済み ファ イル の すべ て の セク ショ ン の 内 容 を 取得 し ま 


° 


$ objdump -s a.out 
a.out: file format elf64-x86-64 


Contents of section .interp: 

400238 2f6c6962 36342f6c 642d6c69 6e75782d /lib64/ld-linux- 
400248 7838362d 36342е73 6f2e3200 x86-64.so.2. 
Contents of section .note.ABI-tag: 

400254 04000000 10000000 01000000 474e5500 ............ GNU. 
400264 00000000 02000000 06000000 20000000 ............ jou 
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Contents of section .note.gnu.build-id: 


400274 04000000 14000000 03000000 474e5500 ............ GNU. 
400284 fe461178 5bb710b4 bbf2aca8 5eclec10 .F.x[....... TT 
400294 cf3f7ae4 .?Z. 


テキ スト 文字 列 「/lib64/ld-linux-x86-64.so0.2」 の アド レス を printf() に 渡す の は 問題 
で は あり ませ ん 


#include <stdio.h> 


int main() 
printf (0x400238) ; 
return 0; 

} 


信じ が た いで す が 、 こ の コー ド は 前 述 の 文字 列 を 表示 し ます 。 


アド レス を 0x400260 に 変更 する と 、「GNU」 文字 列 が 出力 され ます 。 こ の アド レス は 、 
私 の 特定 の GCC バー ジョ ン 、GNU ツ ー ル セッ ト な ど に 当て は まり ます 。 あ な た の シス テム 
で は 、 実 行 フ ァイル は 若干 異な る 場合 が あり 、 す べ て の アド レス も 異な り ま す 。 ま た 、 こ 
の ソー スコ ー ド に / か ら コ ー ド を 追加 / 削 除 す る と 、 お そら くす べ て の アド レス が 前 後に 移 
動 し ます 。 


第 1.5.3 節 ARM 

ARM プ ロ セ ッ サ を 使用 し た 実験 で は 、 い くつ か の コン パイ ラ を 使用 し まし た 。 
・ 組み 込み の 分 野 で 人 気 が あ り ま す : Keil リ リー ス 2013/6 
* LLVM-GCC 4.2 コ ン パ イラ を 搭載 し た Apple Xcode 4.6.3 IDE 26 


• GCC 4.9 (Linaro) (ARM64 用 ) は httbp : //www. linaro.org/projects/armv8/G 
入手 可能 で す 。 
特に 記載 が な い 場 合 、 こ の マニ ュ ア ル の すべ て の ケー ス で 32 ビ ッ ト ARM コ ー ド (Thumb お 
よび Thumb-2 モ ー ド を 含む ) が 使用 され ます 。64 ビ ッ ト ARM に つい て 話す と き は 、ARM64 と 
呼び ます 。 
非 最適 化 Keil 6/2013 (ARM モ ー ド ) 
Keil の 例 を コン パイ ル す る こと か ら 始 め ま し ょ う 。 


armcc.exe --arm --c90 -00 1.c 


26Apple Xcode 4.6.3 は 、 オ ー プ ン ソ ー ス の GCC を フロ ント エン ドコ ン パ イラ と LLVM コ ー ド ジェ ネ レ ー タ と し 
て 使用 し て いま す 
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armcc コン パイ ラ は Intel 構 文 で アイ セン ブリ リス ト を 生成 し ます が 、<′ それ に は 高 レ ベル 


の ARM プ ロ セ ッ サ に 関連 する マク ロ が あり ます が 、 


で す の で 、IDA の コン パイ ル 結 果 を 見 て み ま し ょ う 。 
Listing 1.24: 非 最適 化 Keil 6/2013 (ARM モ ー ド ) IDA 


「 そ の まま 」 の 命令 を 見 る こと が 重要 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


.text: 


00000000 
00000000 
00000004 
00000008 
0000000C 
00000010 


000001EC 


main+4 


40 
ОЕ 
19 
00 
80 


65 


2D 
8F 
00 
AO 
BD 


6C 


main 
E9 STMFD SP!, {R4,LR} 
E2 ADR RO, aHelloWorld ; "hello, world" 
EB BL . 2printf 
E3 MOV RO, 40 
E8 LDMFD SP!, {R4,PC} 
6C+aHelloWorld DCB "hello, world",0 ; DATA XREF: 


この 例 で は 、 各 命令 の サイ ズ が 4 バイ ト で ある こと を 簡単 に 


で は な く ARM モ ー ド 用 の コー ド を コン パイ ル し まし た 。 


最初 の 命令 STMFD SP!, {R4,LR}2 ぢ は 、2 つ の レジ スタ (RA と LR) の 値 を スタ ッ ク に 書 
き 込む x86 PUSH 命令 と し て 機能 し ます 。 


実際 、 armcc コン パイ ラ の 出力 リス ト に は 、 簡略 化 の た め に 実際 に PUSH (r4,lr) 命令 
が 示さ れ て いま す 。 
ド で の み 使 用 で きま す 。 


これ を や っ て いま す 。 


認 で きま す 。 実際 、 Thumb 用 


し か し それ は か な り 正 確 で は あり ませ ん 。PUSH 命令 は 、Thumb モ ー 


し た が っ て 、 物 事 を あま り 混 乱 さ せな いた め に 、 私 た ち は IDA で 


この 命令 は 、 最 初 に SP!30 を デ ク リ メン ト s し て 、 新 し い エ ント リ が な い ス タッ ク 内 の 場 
所 を ポイ ント し 、R4 お よび LR レジ スタ の 値 を 変更 され た SP! に 格納 され た アド レス に 
保存 し ます 。 


この 命令 (Thumb モ ー ド の PUSH 命令 の かよ うな) は 、 一 度 に いく つか の レジ スタ 値 を 保存 


する こと が で き 、 


非常 に 便利 で す 。 と ころ で 、 こ れ は x86 に は 同等 の 機能 は よ は あり ませ ん 。 ま 
た 、STMFD 命令 は 、SP! だ け で な く 、 ど の レジ スタ で も 動作 で きる た め 、PUSH 命令 の 一 般 
化 (機能 拡張 ) で ある こと に も 注意 し て くだ さい 。 換言 すれ ば 、STMFD は 、 指 定 さ れ た メ 
モリ アド レス に レジ スタ の セッ ト を 格納 する た め に 使用 する こと も で きま す 。 


ADR RO, aHelloWorld 命令 は 、PC!+ レ ジス タ の 値 を hello, world 文字 列 が 配置 さ 
れ て いる オフ セッ ト に 加算 また は 減算 し ます 。 こ こ で PC レジ スタ は どの よう に 使用 され る 
の で すか ? こ れ は 「 位 置 独立 コー ド 」32 と 呼ば れ ま す 。 


この よう な コー ド は 、 メ モリ 内 の 固定 され て いな い ア ドレ ス で 実行 する こと が で きま す 。 
換言 すれ ば 、 こ れ は PC! 相 対 ア ドレ ッ シ ン グ で ある 。 


ADR 命令 は 、 こ の 命令 の アド レス と 文字 列 が 配置 され て いる アド レス と の 間 の 差異 を 考慮 
する 。 こ の 違い (オフ セッ ト ) は 、OS に よっ て コー ド が ロー ド さ れる アド レス に 関係 な く 、 
常に 同じ に な り ま す 。 だから 私 た ち が 必 要 と する の は 、 現 在 の 命令 の アド レス (PC! か ら ) 
を 追加 し て 、C 文 字 列 の 絶対 メモ リア ドレ ス を 取得 する こと だ け で す 。 


27 例 えば ARM モ ー ド に は PUSH/POP 命令 が あり ませ ん 
28STMFD29 


30SP! 
31pC! 


32 関 連 セ クシ ョ ン の 詳細 を 読む :(?? on page ??) 
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BL 2printf う 命令 は printf() 関数 を 呼び 出し ます 。 この 命令 の 仕組 み は 次 の と お り 
で す 。 


・ BL 命令 (0хС) に 続く アド レス を LR に 格納 する 


・ その アド レス を PC! レ ジス タ に 書き 込む こと に よっ て 、 コ ント ロー ル を printf( ) に 
渡し ます 。 


printf( ) の 実行 が 終了 する と 、 コ ント ロー ル を 返す 必要 が ある 場所 に 関す る 情報 が 必要 
で す 。 各 機能 が LR レジ スタ に 格納 され た アド レス に 制御 を 渡す 理由 で す 。 


これ は ARM の よう な 「 純 粋 な 」 RISC プ ロ セ ッ サ と x86 の よう な CISC4 プロセ ッ サ と の 違 
いで す 。 リ ター ン ア ドレ ス は 通常 スタ ッ ク に 格納 され ます 。 これ に つい て の 詳細 は 、 次 の 
セク ショ ン (1.7 on page 39) を 参照 し て くだ さい 。 


と ころ で 、 絶 対 32 ビ ッ ト の アド レス また は オフ セッ ト は 、24 ビ ッ ト の た め の ス ペー ス し か 
O pes 32 ビ ッ ト BL 命令 で は 符号 化す る こと が で き な い 。 思い 出さ れる よう 

、 す べ て の ARM モ ー ド 命令 は 4 バイ ト (32 ビ ッ ト ) の サイ ズ を 持ち ます 。 し た が っ て 、 そ 
o ト の 境界 アド レス に の み 配 置 す る こと が で きま す 。 こ れ は 、 命 令 ア ドレ ス の 
最後 の 2 ビッ ト (常に ゼロ ビッ ト ) が 省略 され る こと を 意味 する 。 要約 する と 、 オフ セッ ト 
エン コー ディ ング に は 26 ビ ピット が あり ます 。 こ れ は current_PC+ »32M を エン コー ド す 
る の に 十分 で す 。 


次 に 、MOV RO, #03 命令 は 、RO レジ スタ に 0 を 書き 込む だ け で す 。 これ は 、C 関 数 が 0 を 
返し 、 戻り 値 が RO レジ スタ に 格納 され る た めで す 。 


最後 の 命令 LDMFD SP!, R4,PC° スタ ッ ク (また は 他 の メモ リ 場 所 ) か ら 値 を ロー ド し 
て RA と PC! に 保存 し 、 ス タッ ク ポ イン タ SP! を increments し ます 。 こ こ で POP の よう 
に 動作 し ます 。 注意 : 最初 の 命令 STMFD は RA と LR レジ スタ の ペア を スタ ッ ク に 保存 し 
まし た が 、R4 と PC! は LDMFD の 実行 中 に リス ト ア され ます 。 


すでに わか っ て いる よう に 、 各 関数 が 制御 を 返さ な けれ ば な ら な い 場 所 の アド レス は 、 通 
常 、LR レ ジス タ に 保存 され ます 。 最初 の 命令 は 、printf( ) を 呼び 出す と き に main( ) Bj 
数 が 同じ レジ スタ を 使用 する た め 、 そ の 値 を スタ ッ ク に 保存 し ます 。 関数 の 終わ り で は 、 
この 値 を 直接 PC! レ ジス タ に 書き 込む こと が で き 、 し た が っ て 関数 が 呼び 出さ れ た 場所 に 
制御 を 渡し ます 。 


main( ) は 通常 C/C++ の 主要 な 関数 な の で 、 コ ント ロー ル は OS ロー ダー や CRT の よう な 
点 に 返さ れ ま す 。 


すべ て の 機能 を 使用 する と 、 関 数 の 最後 に BX LR 命令 を 省略 で きま す 。 


DCB は 、x86 ア セン プリ 言語 の DB ディ レク ティ ブ と 同様 に 、 バ イト また は ASCII 文 字 列 の 
配列 を 定義 する アセ ン ブ リ 言語 ディ レク ティ ブ で す 。 


非 最適 化 Keil 6/2013 (Thumb モ ー ド ) 
Thumb モ ー ド で Keil を 使っ て 同じ 例 を コン パイ ル し まし ょ う 。 


armcc.exe --thumb --c90 -00 1.c 


33Branch with Link 

34Complex Instruction Set Computing 
35MOVe の 意味 

36LDMFD37 は STMFD と は 逆 の 命令 で す 
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IDA に 入っ て み ま し ょ う 。 
Listing 1.25: 非 最適 化 Keil 6/2013 (Thumb モ ー ド ) + IDA 


.text:00000000 main 

.text:00000000 10 B5 PUSH (RA,LR) 

.text:00000002 CO АО ADR RO, aHelloWorld ; "hello, world" 

.text:00000004 06 FO 2E F9 BL _ 2printf 

.text:00000008 00 20 MOVS RO, 40 

.text:0000000A 10 BD POP {R4,PC} 

.text:00000304 68 65 6C 6C+aHelloWorld DCB "hello, world",0 ; DATA XREF: 
main+2 


2 バイ ト (16 ビ ッ ト ) の オペ コー ド を 簡単 に 見 つけ る こと が で きま す 。 こ れ は 既に 述べ た 
よう に 、 Thumb で す 。 た だ し 、BL 命令 は 2 つの 16 ビ ッ ト 命 令 で 構成 され て いま す 。 こ れ は 、 
1 つの 16 ビ ッ ト オ ペコ ー ド の 小さ な スペ ー ス を 使用 し て いる 間 に printf( ) 関数 の オフ セ 
ッ ト を ロー ド す る こと が 不可 能 な た めで す 。 し た が っ て 、 第 1 の 16 ビ ッ ト 命 令 は オフ セッ 
ト の 上 位 10 ビ ッ ト を ロー ド し 、 第 2 命令 は オフ セッ ト の 下位 11 ビ ッ ト を ロー ド す る 。 

前 述 し た よう に 、Thumb モ ー ド の 命令 は すべ て 2 バイ ト (また は 16 ビ ッ ト ) の サイ ズ で す 。 
これ は 、Thumb 命 令 が 奇妙 な アド レス に ある こと は まっ た く 不 可能 で ある こと を 意味 し ま 
す 。 上 記 を 前 提 と し て 、 命 令 を 符号 化す る 間 に 最 後 の ア ドレ ス ビ ッ ト を 省略 する こと が で 
きる 。 


まとめ る と 、BLThumb 命 令 は current_PC+ «2M の アド レス を 符号 化す る こと が で きま 
す 。 


関数 内 の 他 の 命令 に つい て は 、PUSH と POP は ここ で 説明 し た STMFD/LDMFD の よう に 動 
作 し ます が 、 こ こ で は SP! レ ジス タ の み が 明 示 的 に 言及 され て いま せん 。ADR は 前 の 例 と 
同様 に 動作 し ます 。MOVS は 、0 を 返す た め に ВО レジ スタ に 0 を 書き 込み ます 。 


最適 化 Xcode 4.6.3 (LLVM) (ARM モ ー ド ) 
最適 化 を 有効 に し な い 場 合 の Xcode 4.6.3 で は 、 冗 長 な コー ド が 多数 生成 され る た め 、 命 
令 カ ウン ト が で きる だ け 小 さい 最適 化 さ れ た 出力 を 検討 し 、 コ ン パ イラ スイ ッ チ -03 を 設 
定 し ます 。 

Listing 1.26: 最適 化 Xcode 4.6.3 (LLVM) (ARM モ ー ド ) 


_ text:000028C4 hello world 

_ text:000028C4 80 40 2D E9 STMFD SP!, {R7,LR} 
_ text:000028C8 86 06 01 ЕЗ MOV RO, #0x1686 
_ text:000028CC OD 70 AO El MOV R7, SP 

. text:000028D0 00 00 40 ЕЗ MOVT RO, 40 

_ text:000028D4 00 00 8F EO ADD RO, PC, RO 

. text:000028D8 СЗ 05 00 EB BL | puts 

_ text:000028DC 00 00 AO ЕЗ MOV RO, 40 

_ text:000028bE0 80 80 BD E8  LDMFD SP!, {R7,PC} 


. Cstring:00003F62 48 65 6C 6C«aHelloWorld 0 DCB "Hello world!",0 


命令 STMFD と LDMFD は も う よ く 知っ て いま すね 。 
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MOV 命令 は 、RO9 レジ スタ に 数 値 Ox1686 を 書き 込む だ け で す 。 こ れ は 「Hello world U x< 
字 列 を 指す オフ セッ ト で す 。 


R7 レジ スタ ([iOS ABI Function Call Guide, (2010)138 で 標準 化 さ れ て いる ) は フレ ー ム 
ポイ ンタ で す 。 以下 で も っ と みて み ま し ょ う 。 


MOVT RO, #0 (MOVe Top) 命令 は 、 レ ジス タ の 上 位 16 ビ ッ ト に 0 を 書き 込み ます 。 こ 
で の 問題 点 は い 、ARM モ ー ド の 汎用 MOV 命 令 が レジ スタ の 下位 16 ビ ッ ト だ け を 書き 込む 
と が で きる こと で す 。 


ARM モ ー ド の 命令 オペ コー ド は すべ て 32 ビ ッ ト に 制限 され て いま す 。 も ちろ ん 、 こ の 制限 
は レジ スタ 間 で の デー タ の 移動 に は 関係 し ませ ん 。 その た め 、 上 位 ビ ッ ト (16 か ら 31 ま 
で ) に 書き 込む た め の 命 令 MOVT が 追加 され て いま す 。 た だ し 、 こ こ で の 使用 方 法 は 冗長 
CF, これ は 、MOV RO, #0х1686 命令 が レジ スタ の 上 位 部 分 を クリ ア し た た めで す 。 こ 
れ は お そら く コ ン パ イラ の 欠点 で す 。 


ADD RO, PC, RO 命令 は 、PC! の 値 を RO の 値 に 加算 し 、「Hello world!」 文 字 列 の 絶対 ア 
ドレ ス を 計算 し ます 。 す で に わ か っ て いる よう に 、 そ れ は 「 位 置 独 立 コ ー ド 」 な の で 、 こ 
の 修正 は ここ で は 必須 で す 。 


BL 命令 は printf() の 代わ り に puts( ) 関数 を 呼び 出し ます 。 


LLVM は 最初 の printf() 呼び 出し を puts() に 置き 換え まし た 。 確か に 、 唯 一 の 引数 を 
持つ printf() (£. puts( ) と ほぼ 同じ で す 。 


ほとん どの 場合 、 文 字 列 に % で 始ま る printf 形 式 識別 子 が 含ま れ て いな い 場 合 に の み 、2 つ 
の 関数 が 同じ 結果 を 生成 する た めで す 。 その 場合 、 こ れ ら の 2 つの 機能 E の 効果 は 異な り ま 
す 


な ぜ コ ン パ イラ は printf() を puts() に 置き 換え た の で し ょ うか ? お そら く puts() が 
高速 で ある た めで す 。3* 


これ は 、 文 字 を % と 一 緒 に 比較 する こと な く 、 文 字 を stdout に 渡す だ け で す 。 
RIT, RO レジ スタ を 0 に 設定 する た め の 使い 慣れ た MOV RO, #0 命令 が あり ます 。 


> 
< 
> 
< 


最適 化 Xcode 4.6.3 (ШММ) (Thumb-2 モ ー ド ) 
Xcode 4.6.3 で は Thumb-2 の コー ド が デフ ォ ル ト で は 次 の よう に 生成 され ます 。 
Listing 1.27: 最適 化 Xcode 4.6.3 (LLVM) (Thumb-2 モ ー ド ) 


_ text:00002B6C hello world 

. text:00002B6C 80 B5 PUSH {R7, LR} 

_ text:00002B6E 41 F2 D8 30 MOVW RO, #0x13D8 
_ text:00002B72 6F 46 MOV R7, SP 

_ text:00002B74 CO F2 00 00 MOVT.W RO, #0 

_ text:00002B78 78 44 ADD RO, PC 

. text:00002B7A 01 FO 38 EA BLX puts 

_ text:00002B7E 00 20 MOVS RO, #0 

_ text:00002B80 80 BD POP {R7, PC} 


38 以 下 で 利用 可能 http://developer.apple.com/library/ios/documentation/Xcode/Conceptual/ 
iPhoneOSABIReference/iPhoneOSABIReference.pdf 

39puts() は 文字 列 の 最後 に 改行 記号 An' を 必要 と し な い の で 、 こ こ で は 見 られ ませ ん 

40ciselant.de/projects/gcc_printf/gcc_printf.html 
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. Cstring:00003E70 48 65 6C 6C 6F 20+aHelloWorld DCB "Hello world!",0xA,0 


Thumb モ ー ド の BL と BLX 命令 は 、16 ビ ッ ト 命 令 の ペア と し て エン コー ド さ れ て いま す 。 
Thumb-2 で は 、 こ れ ら の 代理 オペ コー ド は 、 新 し い 命令 が ここ で 32 ビ ッ ト 命 令 と し て 符号 
化 さ れる よう に 拡張 され る 。 


これ は 、Thumb-2 命 令 の オペ コー ド が 常に OxFx また は OxEx で 始ま る こと を 考慮 する と 
明らか で す 


し か し 。 IDA の リス ト で は 、 opcode バ イト は スワ ッ プ され ます 。 これ は 、ARM プ ロ セ ッ 
サ の 場合 、 命 令 は 次 の よう に エン コー ド さ れる た めで す 。 最後 の バイ ト が 最初 に 来 て 、 最 
初 の バイ ト が 来る と (Thumb お よび Thumb-2 モ ー ド の 場合 ) 、ARM モ ー ド の 命令 の 場合 、 
第 1、 第 3、 第 2、 そ し て 最後 に 第 1 (異な る エン ディ ア ン の た め ) で す 。 


つま り 、 バ イト が IDA リ スト に どの よう に 配置 され て いる か で す 。 
・ ARM お よび ARM64 モ ー ド の 場合 : 4-3-2-1: 
• Thumb モ ー ド の 場合 2-1; 
・ Thumb-2 モ ー ド の 16 ビ ッ ト 命 令 の 場合 は 2-1-4-3 に な り ま す 。 
し た が っ て 、MOVW、MOVT .W お よび BLXX 命 令 は 9xFx で 始ま り ま す 。 


Thumb-2 命 令 の 1 つ は MOVW RO, #0x13D8 で す 。16 ビ ッ ト 値 を RO レジ スタ の 下部 に 格 
納 し 、 上 位 ビ ッ ト を クリ ア し ます 。 


また 、MOVT.W RO, #0 は 、 前 の 例 の MOVT と 同様 に 動作 し 、Thumb-2 で の み 動 作 し ます 。 
BLX 命令 は 、BL の 代わ り に この 場合 に 使用 され ます 。 


違い は 、RAT を LR レジ スタ に 保存 し 、puts( ) 関数 に 制御 を 渡す こと に 加え て 、 プ ロ セ ッ 
サ は Thumb/Thumb-2 モ ー ド か ら ARM モ ー ド (また は その 逆 ) に も 切り 替わり ます 。 


の 命令 は 、 制 御 が 渡さ れる 命令 が 次 の よう に な っ て いる た め 、 こ こ に 配置 され て いま す 
nu ド で エン コー ド さ れ て いま す )。 


_ Symbolstub1:00003FEC puts ; CODE XREF: hello world+E 
. symbolstub1:00003FEC 44 F0 9F E5 LDR PC, = imp puts 


これ は 本 質 的 に 、imports セ クシ ョ ン に puts() の アド レス が 書き 込ま れる 場所 へ の ジャ 
ンプ で す 。 

し た が っ て 、 注意 深い 読者 が 質問 する か も し れ ま せん : コー ド の どこ に 必要 な と ころ 
に puts 0 を 呼び 出す の は な ぜ で すか ? 

非常 に スペ ー ス 効率 が 良い わけ で は な いか ら で す 。 


ほぼ すべ て の プロ グラ ム は 外部 の ダイ ナミ ッ ク ラ イブ ラリ (Windows で は DLL、*NIX で 
は .so、Mac OS X で は .dylib) を 使用 し ます 。 動 的 ライ ブラ リ に は 、 標 準 の C 関 数 puts 0 
を 含む 、 頻 繁 に 使用 され る ライ ブラ リ 関 数 が 含ま れ て いま す 。 
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実行 可能 バイ ナリ ファ イル (Windows PE .exe、ELF ま た は Mach-O) に は 、 イ ン ポ ー ト セ 
クシ ョ ン が 存在 し ます 。 こ れ は 、 外 部 モジ ュー ル か ら イ ン ポ ー ト され た シン ボル (関数 ま 
た は グロ ー バ ル 変 数 ) の リス ト と 、 モ ジュ ー ル 自体 の 名 前 で す 。 


OS ロー ダ は 、 必 要 な すべ て の モジ ュー ル を ロー ド し 、 プ ライ マリ モジ ュー ル の イン ポー ト 
シン ボル を 列挙 し な が ら 、 各 シン ボル の 正しい アド レス を 決定 し ます 。 


私 た ちの 場合 、 jp_puts は 、OS ロ ー ダ ー が 外部 ライ ブラ リ に 関数 の 正しい アド レス を 
格納 する た め に 使用 する 32 ビ ッ ト の 変数 で す 。 次 に 、LDR 命令 は この 変数 か ら 32 ビ ッ ト の 
値 を 読み 込み 、 そ れ を 制御 に 渡し て PC! レ ジス タ に 書き 込み ます 。 


し た が っ て 、 こ の 手順 を 完了 する た め に OS ロー ダ が 必要 と する 時 間 を 短縮 する に は 、 各 シ 
ン ボ ル の アド レス を 専用 の 場所 に 1 回 だ け 書 き 込む こと を お 勧め し ます 。 


さら に 、 す で に わか っ て いる よう に 、 メ モリ アク セス な し で 1 つの 命令 だ け を 使用 し て い 
る 間 は 、32 ビ ッ ト の 値 を レジ スタ に ロー ド す る こと は 不可 能 で す 。 


し た が っ て 、 最 適 な 解決 策 は 、 ダ イナ ミッ クラ イブ ラリ に 制御 を 渡し 、 次 に Thumb コ ー ド 
か ら こ の 短い 1 命令 関数 (いわ ゆる thunk function) に ジャ ンプ する と いう 唯一 の 目的 で 、 
ARM モ ー ド で 動作 する 別 の 関数 を 割り 当て る こと で す 。 

と ころ で 、(ARM モ ー ド 用 に コン パイ ル さ れ た ) 前 の 例 で は 、 コ ント ロー ル は 


TTBL に よっ て 同じ thunk function に 渡さ れ ま す 。 た だ し 、 プ ロ セ ッ サ モー ド は 切り 替え 
られ て いま せん (し た が っ て 、 命 令 ニ ー モ ニッ ク に 「X」 が あり ませ ん )。 


thunk-functions の 追加 情報 


サン ク 関 数 は 、 誤っ た 名 前 の た め に 、 明 ら か に 理解 する の が 難し いで す 。1 つ の タイ プ の ジ 
ャ ッ ク の アダ プター また は コン バー ター と し て 別 の タイ プ の ジャ ッ ク に 理解 する 最も 簡単 
な 方 法 で す 。 た と えば 、 イ ギリ ス の 電源 プラ グ を アメ リカ の コン セン ト に 差し 込む こと が 
で きる アダ プ タ 、 ま た は その 逆 。 サ ンク 関数 は ラッ パー と 呼ば れる こと も あり ます 。 


これ ら の 関数 に つい て も う 少 し 詳し く 説 明 し ます : 


1961 年 に Algol-60 プ ロ シ ー ジ ャ コー ル の 正式 な 定義 に 実際 の パラ メー 
タ を バイ ンド する 手段 と し て Thunks を 発明 し た PZ. Ingerman に よる と 、 
「 ア ドレ ス を 提供 する コー ディ ング 」: 仮 パ ラメ ー タ の 代わ り に 式 を 使用 し 
て プロ シー ジャ ー を 呼び 出す と 、 コ ン パ イラ ー は 式 を 計算 する サン ク を 生 
成 し 、 結 果 の アド レス を 何ら か の 標準 の 場所 に 残し ます 。 


マイ クロ ソフ ト と IBM は 、Intel ベ ー ス の シス テム で は 、 (ブレ ティ ッ ク 
セグ メン トレ ジス タ と 64K ア ドレ ス 制 限 付き の ) 「16 ビ ッ ト 環 境 」 と フラ 
ッ ト ア ドレ ッ シ ン グ と セミ リア ル メ モリ 管理 を 備え た 「32 ビ ッ ト 環 境 」 を 
定義 し て いま す 。 こ の 2 つの 環境 は 、 同 じ コ ンピュータ と OS 上 で 動作 する 
こと が で きま す (Microsoft の 世界 で は 、Windows on Windows の 略 で す )。 
MS と IBM は どちら も 、16 ビ ッ ト か ら 32 ビ ッ ト へ の 変換 プロ セス を 「 サ ンク 」 
と 呼ん で いま す 。Windows 95 に は 、THUNK.EXE と いう ツー ル が あり ます 。 
これ は " サン クコ ン パ イラ " と 呼ば れ て いま す 。 
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他 の 例 と し て LAPACK library が あり ます 。FORTRAN で 書か れ た "Linear Algebra PACKage" 
で す 。 C/C++ 開発 者 も LAPACK を 使い た いと 思っ て いま す が 、C/C++ に 書き 直し て いく 
つか の バー ジョ ン を 維持 する の は 難し いこ と で す 。 で すか ら 、C/C++ 環境 か ら 呼 び 出 し 
可能 な 短い C 関 数 が あり ます 。 こ れ は 、 順 番 に FORTRAN 関 数 を 呼び 出し 、 他 の 何 か を 実行 
Lid. 


double Blas Dot Prod(const LaVectorDouble &dx, const LaVectorDouble &dy) 
t 
assert(dx.size()==dy.size()); 
integer n = dx.size(); 
integer incx = dx.inc(), incy = dy.inc(); 


return F77NAME(ddot)(&n, &dx(0), &incx, &dy(0), &1псу); 
} 


また 、 そ の よう な 関数 は "ラッパー" と 呼ば れ ま す 。 


ARM64 
GCC 


ARM64 環 境 で 、GCC 4.8.1 を 使用 し て サン プル を コン パイ ル し まし ょ う 。 
Listing 1.28: 非 最適 化 GCC 4.8.1 + objdump 


0000000000400590 <main>: 


400590: a9bf7bfd stp x29, x30, [sp,#-16]! 
400594: 910003fd mov x29, sp 

400598: 90000000 adrp x0, 400000 < init-0x3b8> 
40059c: 91192000 add x0, x0, #0x648 

4005a0: 97ffffa0 bl 400420 <puts@plt> 
4005a4: 52800000 mov wO, #0x0 // #0 

4005a8: a8c17bfd tdp x29, x30, [sp],#16 
4005ac: d65f03c0 ret 


Contents of section .rodata: 
400640 01000200 00000000 48656c6c 6f210a00 ........ Hello!.. 


ARM64 に は Thumb モ ー ド と Thumb-2 モ ー ド は な く 、ARM の み で ある た め 、32 ビ ッ ト 命 令 
の み が あ り ま す 。 レ ジス タ 数 は 2 倍 に な り ま す : ?? on page ?? 64 ビ ッ ト レ ジス タ は X- プ 
レフ ィ ッ クス を 持ち 、32 ビ ッ ト 部 分 は W- で す 。 


STP 命令 (スト ア ペ ア ) は 、 ス タッ ク 内 の 2 つの レジ スタ X29 と X30 を 同時 に 保存 し ま 
す 。 

も ちろ ん 、 こ の 命令 は メモ リ 内 の 任意 の 場所 に この ペア を 保存 で きま す が 、 こ こ で SP! レ 
ジス タ が 指定 され て いる た め 、 ペ ア は スタ ッ ク に 保存 され ます 。 

ARM64 レ ジス タ は 64 ビ ッ ト の レジ スタ で 、 それぞれ 8 バイ ト の サイ ズ を 持つ た め 、2 つ の 
レジ スタ を 保存 する た め に 16 バ イト 必要 で す 。 
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オペ ラン ド の 後 の 感嘆 符 ("!") は 、 最 初 に 16 が SP! か ら 減 算 さ れ 、 次 に スタ ッ ク に 書き 込 
まれ る レジ スタ ・ ペ ア の 値 で ある こと を 意味 し ます 。 こ れ は 事前 イン デック ス と も 呼ば れ 
ます 。 事後 イン デック ス と 事前 イン デック ス の 違い に つい て は 、1.30.2 on page 536 を 
読ん で くだ さい 。 


し た が っ て 、 よ り 使 い 慣 れ た x86 で は 、 最 初 の 命令 は PUSH X29 と PUSH X30 の ペア の ア 
ナ ロ グ に 過ぎ ませ ん 。X29 は ARM64 で は FP42 と し て 、LR で は X30 と し て 使用 され て いる 
た め 、 関 数 プロ ロー グ に 保存 され 、 関 数 エピ ロー グ で 復元 され ます 。 


2 番目 の 命令 は X29 (また は FP) の SP! を コピ ー し ます 。 こ れ は 、 関 数 スタ ッ ク フ レー ム 
を 設定 する た め に 行わ れ ま す 。 


ADRP 命令 と ADD 命令 は 、 最初 の 関数 引数 が この レジ スタ に 渡さ れる た め 、 文字 列 「Hello!」 
の アド レス を ХӨ レジ スタ に 入力 する た め に 使用 され ます 。 命令 長 は 4 バイ ト に 制限 さ 
れ て いる た め 、 レ ジス タ に 多数 の 命令 を 格納 で きる 命令 は あり ませ ん 。 詳細 は 1.30.3 on 
раде 537 参 照 し て くだ さい 。 し た が っ て 、 い くつ か の 命令 を 利用 する 必要 が あり ます 。 в 
初 の 命令 (ADRP) は 、 文 字 列 が 配置 され て いる 4KiB ペ ー ジ の アド レス を X0 に 書き 込み 、 
2 番目 の 命令 (ADD) は 残り の アド レス を アド レス に 追加 する だ け で す 。 詳細 に つい て は 、 
1.30.4 on page 540 を 参照 し て くだ さい 。 


0x400000 + 0x648 = 0x400648 で あり 、 こ の アド レス の .rodata デー タ セ グ メ ント に 
ある 「Hello!」 C 文 字 列 を 参照 し て くだ さい 。 


BL 命令 を 使用 し て puts( ) を 呼び 出し ます 。 これ に つい て は 既に 説明 し まし た : 1.5.3 on 
page 27 
MOV は WO に 0 を 書き 込み ます 。W0 は 64 ビ ッ ト XO レジ スタ の 下位 32 ビ ッ ト で す 。 


Japanese text placeholder | Japanese text placeholder 
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関数 の 結果 は X06 を 介し て 返さ れ 、main() は 0 を 返し ます 。 こ れ で 、 リ ター ン さ れる 結果 
が どの よう に 準備 され る の か が わ か り ま す 。 し か し 、 な ぜ 32 ビ ッ ト の 部 分 を 使用 する の で 
し ょ うか ? 


ARM64 の int デー タ 型 は x86-64 の 場合 と 同じ よう に 、 互 換 性 を 高め る た め 、32 ビ ッ ト と 
な っ て いま す 。 


関数 が 32 ビ ッ ト int を 返す 場合 は 、X0O レジ スタ の 下位 32 ビ ッ ト の み を 埋め な けれ ば な り 
ませ ん 。 


これ を 確認 する た め に 、 こ の 例 を 少し 変更 し て 再 コ ン パ イル し まし ょ う 。nmain( ) は 64 ビ 
ッ ト 値 を 返し ます : 


Listing 1.29: main() returning a value of uint64 t type 


#include <stdio.h> 
#include <stdint.h> 


uint64 t main() 

{ 
printf ("Hello!Nn"); 
return 0; 


} 
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結果 は 同じ で す が 、 そ の 行 の MOV は 次 の よう に な り ま す : 
Listing 1.30: 非 最適 化 GCC 4.8.1 + objdump 


4005a4 : d2800000 mov x0, #0x0 // #0 


LDP (Load Pair) (£ X29 と X30 レジ スタ を 復元 し ます 。 


命令 の 後に は 感嘆 符 は あり ませ ん 。 これ は 、 値 が 最初 に スタ ッ ク か ら ロ ー ド され 、 次 
に SP! が 16 だ け 増 加 し た こと を 意味 し ます 。 こ れ は 事後 イン デック ス と 呼ば れ ま す 。 


ARM64 : RET と いう 新しい 命令 が 登場 し まし た 。 こ れ は BX LR と 同様 に 機能 し 、 特 別 な 
ヒン トビ ッ ト の み が 追 加 さ れ 、 こ れ が 別 の ジャ ンプ 命令 で は な く 関 数 か ら の 戻り で ある こ 
と を CPU に 通知 する の で 、 より 最 適 に 実行 で きま す 。 


関数 の 単純 さ の た め に 、GCC の 最適 化 は まさ に 同じ コー ド を 生成 し ます 。 


第 1.5.4 節 MIPS 
「 グ ロー バル ポイ ンタ 」 に つい て 少し 


1 つの 重要 な MIPS コ ン セ プ ト は 、「 グ ロー バル ポイ ンタ 」 で す 。 既 に わか っ て いる よう に 、 
各 MIPS 命 令 の サイ ズ は 32 ビ ッ ト な の で 、32 ビ ッ ト ア ドレ ス を 1 つの 命令 に 組み 込む こと 
は 不可 能 で すこ の 例 で は GCC の よう に 対 を 使用 し な けれ ば な り ま せん 読み 込み ) KE 
し 、1 つ の 命令 を 使用 し て レジ スタ register - 32768...register + 32767 の 範囲 の アド レス か 
ら デ ー タ を ロー ド す る こと は 可能 で す (16 ビ ッ ト の 符号 付き オフ セッ ト を 1 つの 命令 で エ 
ンコ ー ド で きる た め )。 し た が っ て 、 こ の 目的 の た め に いく つか の レジ スタ を 割り 当て て 、 
最も 多く 使用 され て いる デー タ の 64KiB 領 域 を 割り 当て る こと が で きま す 。 こ の 割り 当て 
られ た レジ スタ は " グローバル ポイ ンタ " と 呼ば れ 、64KiB 領 域 の 中 央 を 指し ます 。 こ の 
領域 に は 通常 、printf() の よう な イン ポ ボート さ れ た 関数 の グロ ー バ ル 変 数 と アド レス 
が 含ま れ て いま す 。 なぜなら 、GCC の 開発 者 は 、 関 数 の アド レス を 得る こと は 2 つ で は な 
く 1 つ の 命令 の 実行 と 同じ くら い 速 く な けれ ば な ら な いと 判断 し た か ら で す 。ELF フ ァイル 
で は 、 こ の 64KiB 領 域 は 初期 化 さ れ て いな い デ ー タ の 場合 は .sbss (「small BSS3」) 、 初 
期 化 され た デー タ の 場合 は .sdata (「small data」) の セク ショ ン に 部 分 的 に 配置 され て 
いま す 。 こ れ は プロ グラ マ が どの デー タ を 高速 に アク セス し た い の か を 選択 し て .sdata / 
.Sbss に 入れ る こと を 意味 し ます 。 い くつ か の 古い 学校 の プロ グラ マ は 、MS-DOS メ モリ モ 
デル ?? on page ??、 ま た は すべ て の メモ リ が 64KiB ブ ロッ ク に 分 割 さ れ た XMS / EMS の よ 
うな MS-DOS メ モリ マネ ー ジ ャ 。 


この 概念 は MIPS 特 有 の も の で は あり ませ ん 。 少 なく と も PowerPC は この 手法 も 使用 し て 
いま す 。 
最適 化 GCC 
グロ ー バ ルポ イン タ の 概念 を 示す 次 の 例 を 考え て み ま し ょ う 。 
Listing 1.31: 最適 化 GCC 4.4.5 (アセ ン ブ リ 出力 ) 


1 |$LC0: 


43Block Started by Symbol 
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; N000 is zero byte in octal base: 
.ascii "Hello, world!N012N000" 
main: 
; function prologue. 
; set the GP: 
lui $28,%hi( gnu local gp) 
addiu $5р,$5р,-32 
addiu  $28,$28,%to( gnu local gp) 
; save the RA to the local stack: 


SW $31,28($sp) 
; load the address of the puts() function from the GP to $25: 
lw $25 ,*call16 (puts) ($28) 
; load the address of the text string to $4 ($a0): 
lui $4,%hi($LC0) 
; jump to puts(), saving the return address in the link register: 
jalr $25 


addiu $4,$4,%to($LCO) ; branch delay slot 
restore the RA: 
lw $31,28($sp) 
copy © from $zero to $v0: 
move $2, $0 
return by jumping to the RA: 
j $31 
; function epilogue: 
addiu $sp,$sp,32 ; branch delay slot + free local stack 


我々 が 見 る よう に 、$GP レ ジス タ は 関数 の プロ ロー グ で この 領域 の 中 央 を 指す よう に 設定 
され て いま す 。 RA レジ スタ も ロー カル スタ ッ ク に 保存 され ます 。 printf( ) の 代わ り に 
puts() も ここ で 使用 され ます 。 


puts ( ) 関数 の アド レス は 、LW 命令 (「Load Word」) を 使用 し て $25 に ロー ド さ れ ま す 。 
LUI (「Load Upper Immediate」) と ADDIU (「Add Immediate Unsigned Word」) 命令 
の ペア を 使用 し て 、 テ キス ト 文 字 列 の アド レス が $4 に ロー ド さ れ ま す 。LUI は レジ スタ 
の 上 位 16 ビ ッ ト (し た が っ て 「 命 令 名 の 上 位 ワ ー ド 」) ZREL., ADDIU は アド レス の 下 
位 16 ビ ッ ト を 加算 し ます 。 

ADDIU は JALR に 従い ます (まだ 分 岐 遅延 スロ ッ ト を 覚え て いま すか ②⑦。 レ ジス タ $4 は 
ФАО と も 呼ば れ 、 最 初 の 関数 引数 を 渡す た め に 使用 され ます 。3%?. 

JALR (「jump and Link Register」) は 、RA の 次 の 命令 (LW) の アド レス を 保存 し て いる 
間 、 $25 レジ スタ (puts( ) の アド レス ) に 格納 され て いる アド レス に ジャ ンプ し ます 。 こ 
れ は ARM と 非常 に よく 似 て いま す 。 ああ 、 重 要 な こと の 1 つ は 、RA に 保存 され た アド レス 
は 、 次 の 命令 の アド レス で は な いこ と で す 。 (遅延 スロ ッ ト に あり 、 ジ ャ ンプ 命令 の 前 に 実 
行 さ れる た め ) し た が っ て 、PC ご +8 は JALR の 実行 中 に RA に 書き 込ま れ ま す 。 私 た ちの 
場合 、 こ れ は ADDIU の 次 の LW 命令 の アド レス で す 。 

20 行 目 の LW [Load Word」) は 、 ロ ー カ ルス タッ ク か ら RA を 復元 し ます (この 命令 は 実 
際 に は 関数 の エピ ロー グ の 一 部 で す )。 


22 行 目 の MOVE は 、$0 ($ZERO) レジ スタ か ら $2 ($V0) まで の 値 を コピ ー し ます 。 
MIPS は 定数 レジ スタ を 持ち 、 常 に 0 を 保持 し ます 。 どうやら 、MIPS の 開発 者 た ち は 、 実 際 
44MIPS レ ジス タ の 表 は appendix で 見 られ ます : ?? on page ?? 


о OO +I O I SUN) P 


34 


に は ゼロ が コン ピュ ー タ プロ グラ ミン グ で 最も 忙し いと いう 考え を 思い つい た の で 、 ゼ ロ 
が 必要 な た びに $0 レ ジス タ を 使用 し まし ょ う 。 


も う 1 つ の 興味 深い 事実 は せ 、MIPS に レジ スタ 間 で デー タ を 転送 する 命令 が な いこ と で す 。 
実際 、 MOVE DST, SRC は ADD DST, SRC, $ZERO (DST = SRC+0) GF. これ は 同じ で 
す 。 明らか に 、MIPS 開 発 者 は コン パク ト な opcode テ ー ブ ル を 用 意 し た いと 考え まし た 。 こ 
れ は 、 各 MOVE 命令 で 実際 の 加算 が 行わ れる こと を 意味 し ませ ん 。 ほとん どの 場合 、 CPU は 
これ ら の 疑似 命令 を 最適 化し 、ALU や は 決し て 使用 され ませ ん 。 


24 行 目 の J は 、 RA の アド レス に ジャ ンプ し ます 。 これ は 、 関 数 か ら の 戻り 値 を 効果 的 に 
実行 し て いま す 。J の 後 の ADDIU は 実際 に J の 前 に 実行 され ます (分 岐 遅 延 ス ロッ ト を 
覚え て いま すか ②。 そ し て 関数 の エピ ロー グ の 一 部 で す 。 こ こ に IDA に よっ て 生成 され た 
リス ト も あり ます 。 こ この 各 レ ジス タ に は 、 独自 の 擬似 名 が あり ます 。 


Listing 1.32: 最適 化 GCC 4.4.5 (IDA) 


.text:00000000 main: 
.text:00000000 


.text:00000000 var 10 = -0x10 

.text:00000000 var 4 = -4 

.text:00000000 

; function prologue. 

; set the GP: 

.text:00000000 lui $gp, ( gnu local gp >> 16) 
.text:00000004 addiu $sp, -0x20 

.text:00000008 la $gp, ( gnu local gp & OxFFFF) 
; save the RA to the local stack: 

.text:0000000C SW $га, Ox20+var_4($sp) 


; save the GP to the local stack: 
; for some reason, this instruction is missing in the GCC assembly output: 


. text : 00000010 SW $gp, 0x20«var 10($sp) 

; load the address of the puts() function from the GP to $t9: 

.text:00000014 lw $t9, (puts & OxFFFF) ($gp) 

; form the address of the text string in $a0: 

.text:00000018 lui фаб, ($LCO >> 16) # "Hello, world!" 

; jump to puts(), saving the return address in the link register: 

.text:0000001C jatr $t9 

.text:00000020 la $a0, ($LCO & OxFFFF) # "Hello, 
world!" 

; restore the RA: 

.text:00000024 lw $ra, Ox20+var 4($SD) 

; copy © from $zero to $v0: 

.text:00000028 move $70, $zero 

; return by jumping to the RA: 

.text:0000002C jr $ra 

; function epilogue: 

. text: 00000030 addiu $sp, 0x20 


15 行 目 の 命 令 は 、GP の 値 を ロー カル スタ ッ ク に 保存 し ます 。 こ の 命令 は 、GCC の 出力 リス 
ト か ら 不 思 議 に 見 えま す .GCC の エラ ー が あり ます 46 GP の 値 は 実際 に 保存 し な けれ ば な り 


人 算術 論理 ユニ ッ ト 
46 明 ら か に 、 リ スト を 生成 する 関数 は GCC ユー ザー に と っ て あま り 重 要 で は な い の で 、 修 正 さ れ て いな い エ ラ 
ー が まだ 存在 する か も し れ ま せん 


о O +I OY Ul R UJ NJ P 


35 


ませ ん 。 デ ー タ ウィ ンド ウ 。 puts() アド レス を 含む レジ スタ は $T9 と 呼ば れ 、T- が 前 に 付 
いた レジ スタ は 「 一 時 的 」 と 呼ば れ 、 そ の 内 容 は 保持 され な い 可 能 性 が ある た めで す 。 
非 最適 化 GCC 
非 最適 化 GCC は も っ と 冗長 で す 。 
Listing 1.33: 非 最適 化 GCC 4.4.5 (アセ ン ブ リ 出力 ) 


$LCO: 

.ascii "Hello, world!N012N000" 
main: 

; function prologue. 

; save the RA ($31) and FP in the stack: 
addiu $sp,$sp,-32 
SW $31,28($sp) 

SW $fp,24($sp) 

set the FP (stack frame pointer): 
move $fp,$sp 

set the GP: 
lui $28,%hi( gnu local gp) 
addiu  $28,$28,%to( gnu local gp) 

; load the address of the text string: 

lui $2, *shi($LCO) 
addiu $4,$2,%lo($LCO) 

; load the address of puts() using the GP: 
lw $2, %са1116(ри+ѕ) ($28) 
пор 

call puts(): 
move $25,$2 
jalr $25 
nop ; branch delay slot 


restore the GP from the local stack: 


lw $28,16($fp) 
; set register $2 ($\/0) to zero: 
move $2,$0 


; function epilogue. 
restore the SP: 

move $sp,$fp 
restore the RA: 


lw $31,28($sp) 
; restore the FP: 
lw $fp,24($sp) 


addiu $sp,$sp,32 
jump to the RA: 
j $31 
nop ; branch delay slot 


レジ スタ FP は スタ ッ ク フ レー ム へ の ポイ ンタ と し て 使用 され る こと が わか り ま す 。3 つ 
の NOP も 見 て み ま し ょ う 。2 番 目 と 3 番目 は 分 岐 命令 に 従い ます 。 お そら く 、GCC コ ン パ イ 
ラ は 分 岐 命令 の 後に 常に 分 岐 遅延 スロ ッ ト の た め に NOP を 追加 し 、 最 適 化 が オン に な っ て 
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いれ ば それ ら を 削除 する か も し れ ま せん 。 し た が っ て 、 


ます 。 
IDA の リス ト も あり ます : 
Listing 1.34: 非 最適 化 GCC 4.4.5 (IDA) 
.text:00000000 main: 
.text:00000000 
.text:00000000 var 10 = -0x10 
.text:00000000 var 8 = -8 
.text:00000000 var 4 = -4 
.text:00000000 


; function prologue. 
; save the RA and FP in the stack 


.text:00000000 addiu  $sp, -0x20 

. text: 00000004 sw $ra, Ox20+var 4($SD) 

.text:00000008 SW $fp, Ox20+var_8($sp) 

; set the FP (stack frame pointer): 

. text: 0000000C move $fp, $sp 

; set the GP: 

. text: 00000010 la $gp, _ gnu_local gp 

.text:00000018 SW $gp, 0x20«var 10($sp) 

; load the address of the text string: 

.text:0000001C lui $v0, (aHelloWorld >> 16) 
141" 

text. 00000020 addiu  $a0, $v0, (aHelloWorld & OxFFFF ) 


"Hello, world!" 


; load the address of puts() using the GP: 


. text: 00000024 lw $v0, (puts & OxFFFF) ($gp) 
. text: 00000028 or $at, $zero ; NOP 

; call puts(): 

. text: 0000002C move $t9, $v0 
.text:00000030 jatr $t9 

.text:00000034 or $at, $zero ; NOP 

; restore the GP from local stack: 

.text:00000038 lw $gp, 0x20+var_10($fp) 
; set register $2 ($V0) to zero: 

.text:0000003C move $vO, $zero 

; function epilogue. 

; restore the SP: 

.text:00000040 move $sp, $fp 

; restore the RA: 

.text:00000044 lw $ra, Ox20+var 4($SD) 
; restore the FP: 

.text:00000048 lw $fp, Ox20+var 8($sp) 
.text:0000004C addiu $sp, 0x20 

; jump to the RA: 

.text:00000050 jr $ra 

.text:00000054 or $at, $zero ; NOP 


この 場合 、 それら は ここ に 残さ れ 


興味 深い こと に 、IDA は LUI/ADDIU 命令 の ペア を 認識 し 、15 行 目 の 1 つ の LA (「Load 
Address」) 疑似 命令 に 統合 し まし た 。 こ の 疑似 命令 の サイ ズ は 8 バイ ト で す 。 こ れ は 実際 
の MIPS 命 令 で は な く 、 む し ろ 命 令 対 の た め の 便利 な 名 前 で ある た め 、 疑 似 命令 (また は マ 


クロ ) G, 
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も う 1 つ の こと は 、IDA は NOP 命 令 を 認識 し て いな いこ と で す 。22 行 目 、26 行 目 、 41 行 目 
で す 。 OR $AT, $ZERO で す 。 基 本 的 に 、 こ の 命令 は 、$AT レジ スタ の 内 容 に OR 演算 を 0 
(も ちろ ん アイ ドル 命令 ) で 適用 し ます 。MIPS は 他 の 多く の ISA と 同様 に 、 独 立 し た NOP 命 
令 を 持っ て いま せん 。 


スタ ッ ク フ レー ム の 役割 


テキ スト 文字 列 の アド レス は レジ スタ に 渡さ れ ま す 。 とにかく ロー カル スタ ッ ク を セッ ト 
アッ プ す る 理由 は ? これ は 、printf( ) が 呼び 出さ れる た め 、 レ ジス タ RA と GP の 値 を どこ 
か に 保存 する 必要 が あり 、 ロ ー カ ルス タッ ク が この 目的 の た め に 使用 され て いる と いう 事 
実に あり ます 。 これ が leaf function で あれ ば 、 関 数 の プロ ロー グ と エピ ロー グ を 取り 除 
く こ と が で きま し た 。 例 : 1.4.3 on page 10 


最適 化 GCC: GDB に ロー ド し て みる 


Listing 1.35: sample GDB session 


root@debian-mips:~# gcc hw.c -03 -o hw 


root@debian-mips:~# gdb hw 
GNU gdb (GDB) 7.0.1-debian 


Reading symbols from /root/hw...(no debugging symbols found)...done. 
(gdb) b main 

Breakpoint 1 at 0x400654 

(gdb) run 

Starting program: /root/hw 


Breakpoint 1, 0x00400654 in main () 

(gdb) set step-mode on 

(gdb) disas 

Dump of assembler code for function main: 


0x00400640 <main+0>: lui gp, 0x42 
0x00400644 <main+4>: addiu sp,sp,-32 
0x00400648 <main+8>: addiu др, gp, -30624 
0x0040064c <main+12>: SW ra,28(sp) 
0x00400650 <main+16>: SW gp, 16(sp) 
0x00400654 <main+20>: lw 19, -32716(gp) 
0x00400658 <main+24>: lui a0,0x40 


0x0040065c <main+28>: jatr +9 
0x00400660 <main+32>: addiu a0,a0,2080 


0x00400664 <та1п+36>: lw ra,28(sp) 
0x00400668 <main+40>: move v0,zero 
0x0040066c <main+44>: jr ra 


0x00400670 <main+48>: addiu sp,sp,32 
End of assembler dump. 

(gdb) s 

0x00400658 in main () 

(gdb) s 

0x0040065c in main () 

(gdb) s 

Ox2ab2de60 in printf () from /lib/libc.so.6 
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(gdb) x/s $а0 
0x400820: "hello, world" 
(gdb) 


第 1.5.5 節 結論 


x86/ARM と x64/ARM64 コ ー ド の 主 な 違い は 、 文 字 列 へ の ポイ ンタ が 64 ビ ッ ト 長 に な っ た 
こと で す 。 確か に 、 現代 の CPU は 64 ビ ッ ト に な り ま し た 。 こ れ は 、 現 代 の アプ リ ケ ー シ 
ョ ン で は メモ リ の 節約 と 大 き な 需 要 の 両方 が ある か ら で す 。 私 た ち は 32 ビ ッ ト ポ イン タ よ 
り も は る か に 多く の メモ リ を コン ピュ ー タ に 追加 する こと が で きま す 。 そ の た め 、 す べ て 
の ボイン タ は 64 ビ ッ ト に な り ま し た 。 


第 1.5.6 節 練習 問題 
e http://challenges. re/48 
• http://challenges. re/49 


第 1.6 節 関数 の プロ ロー グ と エピ ロー グ 


関数 プロ ロー グ は 、 関 数 の 先頭 に ある 一 連 の 命令 で す 。 そ れ は し ば し ば 以下 の コー ド 断 片 
の よう に 見 えま す 。 


push ebp 
mov ebp, esp 
sub esp, X 


これ ら の 命令 が 行う こと : EBP レジ スタ に 値 を 保存 し 、EBP レジ スタ の 値 を ESP の 値 に 設 
定 し 、 ロ ー カ ル 変 数 の た め に スタ ッ ク 上 に 領域 を 割り 当て ます 。 
ЕВР の 値 は 、 関 数 実行 の 期間 に わた っ て 同じ まま で あり 、 ロ ー カ ル 変 数 お よび 引数 アク セ 


ス に 使用 され ます 。 同 じ 目 的 の た め に ESP を 使う こと が で きま す が 、 時 間 の 経過 と と も に 
変化 する の で 、 こ の 方 法 は あま り 便 利 で は あり ませ ん 。 


関数 の エピ ロー グ は 、 ス タッ ク 内 の 割り 当て られ た 領域 を 解放 し 、EBP レジ スタ の 値 を 初 
期 状 態 に 戻し 、 制 御 フ ロー を caller に 返し ます 。 


mov esp, ebp 
pop ebp 
ret 0 


関数 の プロ ロー グ と エピ ロー グ は 、 通常 、 逆 アセ ン ブ ラ で 関数 の 区 切り と し て 検出 され ま 
す 。 


第 1.6.1 節 再帰 
エピ ロー グ と プロ ロー グ は 、 再 帰 の パフ ォ ー マ ンス に 悪影響 を 及ぼ し ます 。 
この 本 の 再帰 の 詳細 は 下記 を 参照 : ?? on page ?? 
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第 1.7 節 スタ ッ ク 


スタ ッ ク は 、 コ ンピュータ サイ エン ス に お ける 最も 基本 的 な デー タ 構 造 の 1 つ で す 。? 
AKA'? LIFO^9, 


技術 的 に は 、 そ れ は 、 プ ロ セ ス メ モ リ 内 の メモ リ の ブロ ッ ク で あり 、x86 ま た は x64 の ESP 
また は RSP レジ スタ 、 ま た は ARM の SP! レ ジス タ を その ブロ ッ ク 内 の ポイ ンタ と し て 使用 
し ます 。 


最も 頻繁 に 使用 され る スタ ッ ク ア クセ ス 命 令 は 、PUSH と POP (x86 お よび ARM Thumb モ ー 
ド の 両方 ) で す 。 PUSH は 、 32 ビ ッ ト モ ー ド (また は 64 ビ ッ ト モ ー ド で は 8) で ESP/RSP/SP! 
4 を 減算 し 、 そ の 単独 オペ ラン ド の 内 容 を ESP/RSP/SP! が 指す メモ リア ドレ ス に 書き 込み 
ます 。 


POP は 逆 の 操作 で す : SP! が 指し 示す メモ リ 位 置か ら デ ー タ を 取り 出し 、 命 令 オ ペラ ンド 
(し ば し ば レジ スタ ) に ロー ド し 、 ス タッ ク ポ イン タ に 4 (また は 8) を 追加 し ます 。 


スタ ッ ク 割 り 当 て の 後 、 ス タッ ク ポ イン タ は スタ ッ ク の 一 番 下 を 指し ます 。PUSH は スタ 
ッ ク ポ イン タ を 減ら し 、POP は それ を 増やし ます 。 ス タッ ク の 最 下 部 は 実際 に スタ ッ ク ブ 
ロッ ク に 割り 当て られ た メモ リ の 先頭 に あり ます 。 それは 奇妙 に 見 えま す が 、 そ れ は そう 
で す 。 


ARM は 降順 スタ ッ ク と 昇順 スタ ッ ク の 両方 を サポ ー ト し て いま す 。 


例え ば 、STMFD/LDMFD、STMED?0/LDMED?+ 命 令 は 、 降 順 の スタ ッ ク を 扱う 
図 し て いま す (下位 に 向かっ て 、 高 い ア ドレ ス か ら 始 まり 、 低 い ア ドレ ス (【 
STMFA??/LDMFA??, STMEA?4/LDMEAS5 命 令 は 、 界 順 の スタ ッ ク を 扱う こと を 意図 し て い 
ます (上 位 ア ドレ ス か ら 始 まり 、 上 位 ア ドレ ス に 向かっ て 進み ます )。 


第 1.7.1 節 スタ ッ ク は な ぜ 後 方 に 進 ひ の か 


直感 的 に は 、 他 の デー タ 構 造 と 同様 に 、 ス タッ ク が 上 方 に 、 す な わ ち より 高い アド レス に 
向かっ て 成長 する と 考え る か も し れ ま せん 。 


スタ ッ ク が 後方 に 成長 する 理由 は お そら く 歴 史 的 な も の で す 。 コ ンピュータ が 大 きく て 部 
屋 全 体 を 占有 し て いた 時 代 、 メ モリ を 2 つの 部 分 に 分 ける の は 簡単 で し た 。1 つ は ヒー プ 
用 、 も う 1 つ は スタ ッ ク 用 で す 。 も ちろ ん 、 プ ログ ラム の 実行 中 に ヒー プ と スタ ッ ク が どれ 
だ け 大 きく な る か は 不明 で あっ た た め 、 こ の 解決 策 は 最も 簡単 で し た 。 


47 wikipedia.org/wiki/Call_stack 

48 別名 

43 後 入れ 先 出 し 

50Store Multiple Empty Descending (ARM 命 令 ) 
31Load Multiple Empty Descending (ААМ) 
32Store Multiple Full Ascending (ARM 命 令 ) 
33Load Multiple Full Ascending (ARM 命 令 ) 
54Store Multiple Empty Ascending (ААМ) 
55Load Multiple Empty Ascending (ARM 命 令 ) 
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ヒー プ の 開始 スタ ッ ク の 開始 


ヒー プ — * ス タッ ク 


[D. M. Ritchie and K. Thompson, The UNIX Time Sharing System, (1974)1? で は 、 以 
下 の よ うに 書か れ て いま す 。 


画像 の ユー ザコ ア 部 分 は 、 3 つの 論理 セグ メン ト に 分 割 さ れる 。 プロ グラ 
ム テ キス ト セ グ メ ント は 仮想 アド レス 空間 の 位置 0 で 始ま り ま す 。 実行 中 、 
この セグ メン ト は 書き 込み 保護 され て お り 、 同 じ プ ログ ラム を 実行 し て い 
る すべ て の プロ セス 間 で この セグ メン ト が 共有 され ます 。 仮想 アド レス 空 
間 の プロ グラ ム テ キス ト セ グ メ ント の 上 の 最初 の 8K バ イト 境界 で は 、 共 有 
され な い 書 き 込 み 可 能 な デー タ セ グ メ ント が 開始 され ます 。 こ の デー タ セ 
グ メ ント の サイ ズ は シス テム コー ル に よっ て 拡張 され ます 。 仮想 アド レス 
空間 の 最上 位 ア ドレ ス か ら 始 まる スタ ッ ク セ グ メ ント は 、 ハ ー ド ウェ ア の 
スタ ッ ク ポ イン タ が 変動 する と 自動 的 に 下 に 向かっ て 成長 し ます 。 


これ は 、 一 部 の 学生 が 1 つの ノー トブ ッ ク を 使用 し て 2 つの 講義 ノー ト を 書く 方 法 を 思い 出 
させ ます 。 最 初 の 講義 の ノー ト は いつ も の よう に 書か れ 、2 つ 目 の ノ ー ト は ノー トブ ッ ク 
の 最後 か ら そ れ を 反転 させ て 書き 込ま れ ま す 。 空 き 領 域 が な い 場 合 に 、 ノ ー ト は その 間 の 
どこ か で 互い に 会 うこ と に な り ま す 。 


第 1.7.2 節 スタ ッ ク は 何 に 使用 され る か 
関数 の リタ ー ン アド レス を 保存 する 
x86 


CALL 命令 で 別 の 関数 を 呼び 出す と 、CALL 命令 の 直後 の ポイ ント の アド レス が スタ ッ ク に 
保存 され 、CALL オペ ラン ド の アド レス へ の 無 条 件 ジャ ンプ が 実行 され ます 。 


CALL 命令 は 、PUSH の PUSH address after call / JMP operand 命令 対 に 相当 す 
る 。 


RET は スタ ッ ク か ら 値 を 取り 出し 、 ジ ャ ンプ し ます 。 こ れ は POP tmp / JMP tmp 命令 
の 対 に 相当 し ます 。 


スタ ッ ク の オー バー フロ ー は 簡単 で す 。 永遠 の 再帰 を 実行 する だ け で す : 


void f() 
1 


}; 


f(); 


MSVC 2008 が 問題 を レポ ー ト し ます : 
36 以 下 で 利用 可能 URL 


41 


c:Ntmp6>cl ss.cpp /Fass.asm 

Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 15.00.21022.08 for 7 
s 80x86 

Copyright (C) Microsoft Corporation. All rights reserved. 


SS .CDD 
c:\tmp6\ss.cpp(4) : warning C4717: 'f' : recursive on all control paths, 7 
s function will cause runtime stack overflow 


… し か し 、 正 し い コ ー ド を 生成 し ます 。 


?f@@YAXXZ PROC ERE 
; Line 2 

push ebp 

mov ebp, esp 
; Line 3 

call ? F@@YAXXZ Ж; 
; пе 4 

рор ebp 

ret 0 
?f@@YAXXZ ENDP r f 


.… また 、 コ ン パ イラ 最適 化 (/0x オプ ショ ン ) を 有効 に する と 、 最 適 化 され た コー ド は ス 
タッ ク を オー バー フロ ー せ ず 、 代 わり に 正しく ?7 動 作 し ます 。 


?f@@YAXXZ PROC sof 
; Line 2 
$LL3@f: 
; Line 3 

jmp SHORT $LL3@f 
?f@@YAXXZ ENDP a f 


GCC 4.4.1 は どちら の 場合 も 問題 の 警告 を 出さ ず に 同様 の コー ド を 生成 し ます 。 
ARM 


また 、ARM プ ログ ラム は スタ ッ ク を 使用 し て リタ ー ン アド レス を 保存 し ます が 、 別 の 方 
法 で スタ ッ ク を 使用 し ます 。「 ハ ロー ワー ルド !」 (1.5.3 on page 23) で 述べ た よう に 、 
RA は LR (link register) に 保存 され ます 。 た だ し 、 別 の 関数 を 呼び 出し て も う 一 度 LR レ ジ 
スタ を 使用 する 必要 が ある 場合 は 、 そ の 値 を 保存 する 必要 が あり ます 。 通常 、 関 数 プロ ロ 
ー グ に 保存 され ます 。 


多く の 場合 、PUSH R4-R7,LR の よう な 命令 が 、 エ ピロ ー グ で POP R4-R7,PC と と も に 見 
られ ます 。 し た が っ て 、 関 数 で 使用 され る レジ スタ 値 は 、LR を 含め て スタ ッ ク に 保存 され 
ます 。 

それ に も か か わら ず 、 あ る 関数 が 他 の 関数 を 呼び 出す こと が な けれ ば 、RISC の 用 語 で は 
それ を leaf function? c Q9 d, その 結果 、 リ ー フ 関数 は LR レジ スタ を 保存 し ませ ん 
37 こ この 皮肉 

58jnfocenterarm.com/help/index.jsp?topic=/com.arm.doc.faqs/ka13785.html 


42 
(LR レジ スタ を 変更 し な いた め )。 こ の よう な 関数 が 小さ く 、 少 数 の レジ スタ を 使用 する 場 
合 は 、 ス タッ ク を まっ た く 使 用 し な いこ と が あり ます 。 し た が っ て 、 ス タッ ク を 使用 せ ず 
に リー フ 関 数 を 呼び 出す こと が で きま す 。?3 これ は 、 外 部 RAM が スタ ッ ク に 使用 され な い 
た め 、 十 い x86 マ シン より も 高速 に な る 可能 性 が あり ます 。 こ れ は 、 ス タッ ク の メモ リ が 
まだ 割り 当て られ て いな い 状 況 また は 利用 で きま せん 。 
リー フ 関 数 の いく つか の 例 : 1.10.3 on page 130, 1.10.3 on page 130, 1.275 on 


page 382, 1.291 on page 404, 1.21.5 on page 404, 1.185 on page 257, 1.183 on 
page 254, 1.202 on page 277. 


関数 の 引数 を 渡す 
x86 で パラ メー タ を 渡す 最も 一 般 的 な 方 法 は 、「cdecl」 で す 。 


push arg3 

push arg2 

push arg1 

call f 

add esp, 12 ; 4*3=12 


callee 関 数 は スタ ッ ク ポ イン タ を 介し て 引数 を 取得 し ます 。 


し た が っ て 、f() 関数 の 最初 の 命令 が 実行 され る 前 に 、 引 数 の 値 が スタ ッ ク に どの よう に 
格納 され て いる か が わか り ま す 。 

ESP return address 

ESP+4 引数 #1, IDA に マー ク す る аго_0 
ESP+8 引数 #2, IDA に マー ク す る arg 4 
ESP+0xC | 引数 #3, IDA に マー ク す る arg 8 


他 の 呼び 出し 規約 の 詳細 に つい て は 、 セ クシ ョ ン (?? on page ??) も 参照 し て くだ さい 。 


ちな み に 、callee 関 数 に は 、 渡 され た 引数 の 数 に 関す る 情報 は あり ませ ん 。(printf( ) の 
よう な ) 可変 数 の 引数 を 持つ C 関 数 は 、 フ ォ ー マ ッ ト 文 字 列 指 定子 (% 記号 で 始ま る ) を 
使っ て その 数 を 決定 し ます 。 


私 た ち が 次 の よう に 書く と し ます 。 


printf("%d %d %d", 1234); 


printf() は 1234 を 出力 し 、 次 に その スタ ッ ク の 隣 に ある 2 つの 乱数 59 を 出力 し ます 。 


だ か ら 、main( ) 関数 を 宣言 する 方 法 は あま り 重 要 で は あり ませ ん : main( ) main(int 
argc, char *argv[ ] ) また は main(int argc, char *argv[], char *envp[]) の 
いずれ か で す 。 

実際 、 CRT コ ー ド は main( ) を 以下 の よう に 呼び 出し て いま す : 

29 いく つか の 時 間 前 、PDP-11 と VAX で は 、CALL 命 令 ( 他 の 関数 を 呼び 出す ) は 高価 で し た 。 実 行 時 間 の 50% 
まで が 費やさ れる 可能 性 が ある た め 、 小 さ な 機 能 を 多数 持つ こと は anti-pattern [Eric S. Raymond, The Art of 


UNIX Programming, (2003)Chapter 4, Part II] 
60 厳 密 な 意味 で ラン ダム で は な く 、 む し ろ 予 測 不 可能 : 1.7.4 оп page 49 
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push envp 
push argv 
push argc 
call main 


引数 な し で main() を main() と し て 宣言 する と 、main( ) は スタ ッ ク に まだ 残っ て いま 
す が 使 用 され ませ ん 。main( ) main(int argc, char *argv[] ) と し て 宣言 する と 、 
最初 の 2 つの 引数 を 使用 する こと が で き 、3 つ 目 の 引 数 は 関数 の 「 不 可視 」 の まま に な り ま 
す 。 さ ら に 、main(int argc) を 宣言 する こと も 可能 で す 。 こ れ は 動作 し ます 。 


引数 を 渡す 別 の 方 法 


プロ グラ マ が スタ ッ ク を 介し て 引数 を 渡す こと は 何 も 必要 で は な いこ と は 注目 に 値する 。 
それ は 要件 で は あり ませ ん 。 ス タッ ク を まっ た く 使 用 せ ず に 他 の 方 法 を 実装 する こと も で 
きま す 。 

アセ ン ブ リ 言語 初心 者 の 間 で や や 普及 し て いる 方 法 は 、 グ ロー バル 変数 を 介し て 引数 を 渡 
すこ と で す 


Listing 1.36: Assembly code 


mov X, 123 
mov Y, 456 
call do_something 


do something proc near 
; take X 
; take Y 
; do something 
retn 

do something endp 


し か し 、 こ の メソ ッ ド に は 明白 な 欠点 が あり ます 。 do something) 関数 は 、 独 自 の 引数 
を zap す る 必要 が ある た め 、 再 帰 的 に (また は 別 の 関数 を 介し て ) 呼び 出す こと は で きま 
tA, ローカル 変数 を 使っ た 同じ 話 : グロ ー バ ル 変 数 で それ ら を 保持 する と 、 関 数 は 自分 
自身 を 呼び 出す こと が で きま せん で し た 。 ま た 、 こ れ は スレ ッ ド セー フ 61 で は あり ませ 
ん 。 こ の よう な 情報 を スタ ッ ク に 格納 する 方 法 は 、 こ れ を より 簡単 に し ます 。 多 く の 関 数 
の 引数 や 値 、 ス ペー ス を 確保 で きま す 。 


[Donald E. Knuth, The Art of Computer Programming, Volume 1, 3rd ed., (1997), 189] 
Iż. ІВМ System/360 上 で 特に 便利 な 奇妙 な スキ ー ム に つい て も 言及 し て いま す 。 


1 正 し く 実 装 さ れ 、 各 スレ ッ ド は 独自 の 引数 / 変 数 を 持つ 独自 の スタ ッ ク を 持ち ます 
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M5-DO05 に は 、 レ ジス タ を 介し て すべ て の 関数 引数 を 渡す 方 法 が あり まし た 。 た と えば 、 古 
代 16 ビ ッ ト MS-DOS の “Hello, world!” コー ド の コー ド で す 。 


mov dx, msg ; address of message 

mov ah, 9 ; 9 means "print string" function 
int 21h ; DOS "syscall" 

mov ah, 4ch ; "terminate program" function 
int 21h ; DOS "syscall" 


msg db 'Hello, World!N$' 


これ は 、?2? on page ?? の メソ ッ ド と 非常 に よく 似 て いま す 。 ま た 、Linux の syscalls ((?? 
on page ??)) と Windows を 呼び 出す の と 非常 に よく 似 て いま す 。 


MS-DOS 関 数 が ブー ル 値 (すなわち 単 一 ビッ ト 、 通常 は エラ ー 状 態 を 示す ) を 返す 場合 、CF 
フラ グ が し ば し ば 使用 され ます 。 


例え ば : 


mov ah, 3ch ; create file 
lea dx, filename 

mov cl, 1 

int 21h 

jc error 

mov file handle, ax 


error: 


エラ ー の 場合 、CF フラ グ が 立て られ ます 。 そ れ 以 外 の 場合 は 、 新 し く 作 成 さ れ た ファ イル 
の ハン ドル が AX を 介し て 返さ れ ま す 。 

この メソ ッ ド は 、 ア セン ブリ 言語 プロ グラ マ に よっ て 引き 続き 使用 され ます 。Windows 
Research Kernel の ソー スコ ー ド (Windows 2003 と 非常 に 似 て いま す ) で は 、 次 の よう 
な も の が 見 つか り ま す 


(ファ イル base/ntos/ke/i386/cpu.asm) 


public Get386Stepping 
Get386Stepping proc 


call MultiplyTest ; Perform multiplication test 
jnc short G3s00 ; if nc, muttest is ok 
mov ax, 0 
ret 
G3s00: 
call Check386B0 ; Check for BO stepping 
jnc short G3s05 ; if nc, it's В1/1аїег 
mov ax, 100h ; It is B0/earlier stepping 
ret 
G3s05: 
call Check386D1 ; Check for D1 stepping 


jc short G3s10 ; if c, it is NOT D1 
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mov ax, 301h ; It is Dl/later stepping 
ret 

G3s10: 
mov ax, 101h ; assume it is В1 stepping 
ret 


MultiplyTest proc 


xor CX, CX ; 64K times is a nice round number 
mlt00: push cx 
call Multiply ; does this chip's multiply work? 
pop CX 
jc short mltx ; if c, No, exit 
loop mlt00 ; if nc, YEs, loop to try again 
clc 
mltx: 
ret 


MultiplyTest endp 


ロー カル 変数 記憶 域 


関数 は 、 ス タッ ク の 底 に 向かっ て スタ ッ ク ポ イン タ を 減ら す だ け で 、 ロ ー カ ル 変 数 の た め 
に スタ ッ ク に 領域 を 割り 当て る こと が で きま す 。 


し た が っ て 、 ど れ だ け 多 く の ロ ー カ ル 変 数 が 定義 され て いて も 、 非 常に 高速 で す 。 ス タッ 
ク に ロー カル 変数 を 格納 する 必要 も あり ませ ん 。 あ な た は 好き な 場所 に ロー カル 変数 を 格 
納 す る こと が で きま す が 、 伝統 的 に は これ が どの よう に 行わ れ て いま す 。 


x86: alloca() 関数 


attoca( ) 関数 に 注目 する こと は 重要 で す 9 この 関数 は matLoc( O の よう に 動作 し ます 
が 、 ス タッ ク に 直接 メモ リ を 割り 当て ます 。 関数 の エピ ロー グ (1.6 on page 38) は ESP 
を 初期 状態 に 戻し 、 割 り 当 て られ た メモ リ は 単に 破棄 され る た め 、 割 り 当 て られ た メモ リ 
チャ ンク は free( ) 関数 呼び 出し で 解放 する 必要 は あり ませ ん 。atLloca( ) が どの よう に 
実装 され て いる か は 注目 に 値する 。 簡 単に 言え を ば 、 こ の 関数 は 必要 な バイ ト 数 だ け ス タッ 
ク 底 部 に 向かっ て ESP を 下 に シフ ト さ せ 、 割 り 当 て られ た ブロ ッ ク へ の ポイ ンタ と し て 
ESP を 設定 し ます 。 


や っ て み ま し ょ う 。 


#ifdef GNUC ` 

#include <alloca.h> // GCC 
#else 

#include <malloc.h> // MSVC 
#endif 


62MSVC で Ik, Bj 数 の X # は C:\Program Files (x86)\Microsoft Visual Studio 
10.0NVCNcrtNsrcNintel の attoca16 .asm と chkstk.asm に あり ます 
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#include <stdio.h> 
void f() 


{ 

char *buf=(char*)alloca (600); 
#ifdef _GNUC ` 

snprintf (buf, 600, "hi! %d, %d, %d\n", 1, 2, 3); // GCC 
#else 

_snprintf (buf, 600, "hi! %d, %d, %d\n", 1, 2, 3); // MSVC 
#endif 


puts (buf); 
}; 


_snprintf() 関数 は printf() と 同じ よう に 動作 し ます が 、 結 果 を stdout (ター ミナ ル 
や コン ソー ル な ど ) に ダン プ す る 代わ り に 、buf バッ ファ に 書き 込み ます 。puts( ) 関数 
は buf の 内 容 を stdouot に コピ ー し ます 。 も ちろ ん 、 こ れ ら の 2 つの 関数 呼び 出し は 1 つの 
Drintf( ) 呼び 出し で 置き 換え る こと が で きま す が 、 小 さ な バ ッ フ ァ の 使用 法 を 説明 する 
必要 が あり ます 。 


MSVC 


コン パイ ル し て み ま し ょ う (MSVC 2010 で ) 
Listing 1.37: MSVC 2010 


mov eax, 600 ; 00000258H 


call alloca probe 16 
mov esi, esp 

push 3 

push 2 

push 1 

push OFFSET $SG2672 
push 600 ; 00000258H 
push esi 

call | snprintf 

push esi 

call | puts 


add esp, 28 


alloca() の 唯一 の 引数 は EAX 経由 で (スタ ッ ク に プッ シュ する の で は な く ) 渡さ れ ま す 。 


63alloca 0 は コン パイ ラ 組 み 込 み 関数 ((?? on page ??)) で は な く 、 通 常 の 関数 で す 。MSVC64 の alloca() の 
実装 に は 、 割 り 当 て られ た メモ リ か ら 読 み 込む コー ド が 含ま れ て いる た め 、OS が 物理 メモ リ を VM 領域 に マッ プ 
する た め に 、 コ ー ド 内 の 命令 が 数 個 で は な く 別 々 の 関数 を 必要 と する 理由 の 1 つ で す 。attoca( ) 呼び 出し の 後 、 
ESP は 600 バ イト の ブロ ッ ク を 指し 、buf 配列 の メモ リ と し て 使用 で きま す 。 
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GCC + イン テル 構文 


GCC 4.4.1 は 、 外 部 関数 を 呼び 出す こと な く 同 じ こ と を 行い ます 


Listing 1.38: GCC 4.7.3 


.LC0: 


.string "hi! %d, %d, %d\n" 


push ebp 

mov ebp, esp 

push ebx 

sub esp, 660 

lea ebx, [esp+39] 

and ebx, -16 ; align pointer by 16-byte border 
mov DWORD PTR [esp], ebx Ss 

mov DWORD PTR [esp+20], 3 

mov DWORD PTR [esp+16], 2 

mov DWORD PTR [esp+12], 1 

mov DWORD PTR [esp+8], OFFSET FLAT:.LCO ; "hi! %d, %d, %d\n" 
mov DWORD PTR [esp+4], 600 ; maxlen 

call  snprintf 

mov DWORD PTR [esp], ebx Ps 

call puts 

mov ebx, DWORD PTR [ebp-4] 

leave 

ret 


GCC + AT&T 構 文 


同じ コー ド を AT&T 構 文 で 見 て み ま し ょ う 


Listing 1.39: GCC 4.7.3 


.LCO: 


.string "hi! %d, %d, %d\n" 


pushl %ebp 
movl %еѕр, %ebp 
pushl %ebx 
subl $660, %еѕр 


leal 39(%esp), %ebx 
andl $-16, %ерх 
movl %ebx, (%еѕр) 
movl $3, 20(%esp) 
movl $2, 16(%esp) 
movl $1, 12(%esp) 
movl $.LC0, 8(%esp) 
movl $600, 4(%esp) 
call _snprintf 

movl %ebx, (%еѕр) 


call puts 
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movl -4(%ebp), %ebx 
leave 
ret 


コー ド は 前 の リス ト と 同じ で す 。 


ちな み に 、movt $3, 20(%esp) は 、Intel 構 文 の mov DWORD PTR [esp+20], 3 に 対 
応 し て いま す 。AT&T の 構文 で は 、 ア ドレ ス 指 定 メ モリ の レジ スタ + オ フ セ ッ ト 形 式 は 
offset(%register) の よう に 見 えま す 。 


(Windows) SEH 

SEH?3 レ コー ド は スタ ッ ク に も 格納 され ます (存在 する 場合 )。 そ れ に つい て も っ と 読む : 
(5.2.1 on page 556) 

バッ ファ オー バー フロ ー 保 護 

詳細 は こち ら (1.20.2 on page 332) 


スタ ッ ク 内 の デー タ の 自動 解放 


お そら く 、 ローカル 変数 と SEH レ コー ド を スタ ッ ク に 格納 する 理由 は 、 ス タッ ク ポ イン タ 
を 修正 する た め の 命 令 を 1 つ だ け 使 用 し て (通常 は ADD で す )、 関 数 が 終了 する と 自動 的 に 
解放 され る か ら で す 。 関数 の 引数 は 、 関 数 の 終わ り に 自動 的 に 割り 当て 解除 され ます 。 対 
照 的 に 、 ヒ ー プ に 格納 され て いる も の は すべ て 明示 的 に 割り 当て 解除 する 必要 が あり ます 。 


第 1.7.3 節 典型 的 な スタ ッ ク レ イア ウト 


最初 の 命令 を 実行 する 前 の 、 関 数 の 開始 時 の 32 ビ ッ ト 環 境 で の 典型 的 な スタ ッ ク レ イア ウ 
ト は 次 の よう に な り ま す 。 


ESP-0xC | ロー カル 変数 #2, IDA に マー ク す る var 8 


ESP-8 ロー カル 変数 #1, IDA に マー ク す る var 4 
ESP-4 saved value ofEBP 
ESP リタ ー ン アド レス 


ESP+4 引数 #1, IDA に マー ク す る arg 0 
ESP+8 引数 #2, IDA に マー ク す る arg 4 
ESP+ OxC | 引数 #3, IDA に マー ク す る arg 8 


65Structured Exception Handling 
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第 1.7.4 節 スタ ッ ク の ノイ ズ 


多く の 場合 、 


ある 人 が 何 か が ラン ダム に 見 える と 言う と き 、 実 
際 に は 、 そ の 中 に 何ら か の 規則 性 を 見 る こと が で 
き な い と いう こと で す 


Stephen Wolfram, A New Kind of Science. 


この 本 で は 「 ノ イズ 」 や 「 ガ ベー ジ 」 の 値 が スタ ッ ク や メモ リ に 記述 され て 


WET, 彼ら は どこ か ら 来 た の か ? これ ら は 、 他 の 関数 の 実行 後に そこ に 残っ て いる も の 


CH. 短い 例 : 


#include <stdio.h> 


void f1() 
{ 
int a=1, b=2, c=3; 
}; 
void #2() 
{ 
int а, b, с; 
printf ("%а, %d, %dNn", а, b, с); 
}; 
int main() 
{ 
f1(); 
f2(); 
}; 
コン パイ ル す る と ... 
Listing 1.40: 非 最 適 化 MSVC 2010 
$SG2752 DB '*d, %d, %d', OaH, OOH 
_c$ = -12 ; size = 4 
_b$ = -8 ; size = 4 
_a$ = -4 ; size = 4 
_fl PROC 
push ebp 
mov ebp, esp 
sub esp, 12 
mov DWORD PTR a$[ebp], 1 
mov DWORD PTR b$[ebp], 2 
mov DWORD PTR c$[ebp], З 
mov esp, ebp 
pop ebp 
ret 0 

_11 ЕМОР 

_c$ = -12 ; Size = 4 

_b$ = -8 ; size = 4 
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_а$ = -4 ; Size = 4 

_f2 PROC 
push ebp 
mov ebp, esp 
sub esp, 12 
mov eax, DWORD PTR c$[ebp] 
push eax 
mov ecx, DWORD PTR _b$[ebp] 
push ecx 
mov edx, DWORD PTR a$[ebp] 
push edx 


push OFFSET $SG2752 ; '%d, %d, %d' 
call DWORD РТА _ imp printf 


add esp, 16 
mov esp, ebp 
pop ebp 
ret 0 

_f2 ENDP 

_main PROC 
push ebp 
mov ebp, esp 
call _11 
call _12 
xor eax, eax 
pop ebp 
ret 0 

main ENDP 


コン パイ ラ は 少し 不満 そう で す .… 


c:\Polygon\c>cl st.c /Fast.asm /MD 

Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 16.00.40219.01 for v 
s 80x86 

Copyright (C) Microsoft Corporation. А11 rights reserved. 


st.c 

c:\polygon\c\st.c(11) : warning C4700: uninitialized local variable 'c' 7 
s used 

c:\polygon\c\st.c(11) : warning C4700: uninitialized local variable 'b' v 
s used 

c:\polygon\c\st.c(11) : warning C4700: uninitialized local variable 'a' 7 
s used 


Microsoft (R) Incremental Linker Version 10.00.40219.01 
Copyright (C) Microsoft Corporation. All rights reserved. 


/out:st.exe 
st.obj 


し か し 、 コ ン パ イル され た プロ グラ ム を 実行 する と ... 


c:\Polygon\c>st 
1, 2, 3 


51 
ああ 、 な ん て 奇妙 な ん で し ょ う ! 我々 は f2() に 変数 を 設定 し ませ ん で し た 。 こ れ ら は 
「 ゴ ー ス ト 」 値 で あり 、 ま だ スタ ッ ク に 入っ て いま す 。 
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ンプ ル を OllyDbg に ロー ド し まし ょ う 。 


SBEC MOU EBP,ESP 

83EC ac SUB ESP, ロビ 

C745 FC 01001 MOV DWORD PTR SS:CLOCAL.1],1 

C745 ЕЗ ü288i MOV DWORD PTR SS:CLOCAL.21,2 
MOU DWORD PTR 55: [LUCHL.3],3 


io c ec 


аййййййй 
PUSH ЕВР i 91201019 s 5 ・912C 1018 
МОМ EBP, ESP > g AZB t g(FFFFFFFF) 


SUB ESP, OC i 
HOU EAX, DWORD PTR SS LOCRL・3] : EE 


PUSH EAK : us | 
MOU ECX,DMORD PTR SS:[LOCHL.2] ES наанаа a 


: B(FFFFFFFF) 


3S 


st.@12C 


st.012C 
Y 


1.6: OllyDbg: f1() 


f1() が 変数 。、 ヵ 、c を 代入 する と 、 そ の 値 は アド レス 0х1ЕЕ860 に 格納 され ます 。 
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そし て f2() が 実行 され る と き : 


File View Debug Trace plugins Options Windows Нер 


83EC ac SUB ESP, ØC 
8B45 F4 Ts EAX, DWORD PTR SS: CLOCAL.3] 


5g USH 

8B4D F8 MOY, ECX, DWORD PTR SS: CLOCAL.2] 

8BSS FC MOV EDX,DWORD PTR SS:LLOCRL.11 

52 PUSH EDX 

68 BOBG2CG1 | PUSH OFFSET 012CB000 

ES 258880888 012C1061 

83C4 16 үл 
st.012C1026 

B(FFFFFFFF) 


B(FFFFFFFF) 
BLFFFFFFFF) 


BLFFFFFFFF) 
7EFDDGOG( FFF) 
BtFFFFFFFF) 


БО] FFFFFFFE[* 
ieee 115, B RETURN from st. G 


) c бю c cro c 


1.7: OllyDbg: f2() 


.. f2( ) Oa. b. c は 同じ アド レス に あり ます ! 誰 も まだ 値 を 上 書き し て いな い の で 、 そ 
の 時 点 で まだ 変更 は あり ませ ん 。 し た が っ て 、 こ の 奇妙 な 状況 が 発生 する た め に は 、 い く 
つか の 関数 を 次 々 と 呼び 出さ な けれ ば な ら ず 、SP! は 各 関数 エン トリ で 同じ で な けれ ば な 
ら な い (すなわち 、 そ れ ら は 同じ 数 の 引数 を 有する )。 次 に 、 ロ ー カ ル 変 数 は スタ ッ ク 内 の 
同じ 位置 に 配置 され ます 。 要約 する と 、 ス タッ ク (お よび メモ リセ ル ) 内 の すべ て の 値 は 、 
以前 の 関数 実行 か ら 残 っ た 値 を 持ち ます 。 彼ら は 厳密 な 意味 で ラン ダム で は な く 、 む し ろ 
予測 不可 能 な 値 を 持っ て いま す 。 別 の オプ ショ ン が あり ます か ? 各 関数 の 実行 前 に スタ ッ 
ク の 一 部 を クリ ア す る こと は お そら く 可 能 で す が 、 余計 な (そし て 不要 な ) 作業 で す 。 


MSVC 2013 


この 例 は MSVC 2010 に よっ て コン パイ ル さ れ ま し た 。 し か し 、 こ の 本 の 読者 は 、 こ の サン 
プル を MSVC 2013 で コン パイ ル し て 実行 し 、3 つ の 数 字 が すべ て 逆 の 結果 に な る で し ょ う 。 


c:\Polygon\c>st 
3, 2; 1 


どう し て ? 私 も MSVC 2013 で この 例 を コン パイ ル し 、 見 て み ま し た 。 
Listing 1.41: MSVC 2013 


_а$ = -12 ; Size = 4 
_b$ = -8 ; Size = 4 
_c$ = -4 ; size = 4 
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_12 PROC 

12 ЕМОР 
_c$ = -12 ; Size = 4 
_b$ = -8 ; size = 4 
аф = -4 ; size = 4 
_ fl PROC 
_11 ЕМОР 


MSVC 2010 と は 異な り 、MSVC 2013 は 関数 f2() の a/b/c 変 数 を 逆順 に 割り 当て まし た 。 
これ は 完全 に 正しい 動作 で す 。C/C++ 標準 に は ルー ル が あり ませ ん 。 ロー カル 変数 を 口 
ー カ ルス タッ ク に 割り 当て る 必要 が あれ ば 、 ど うい う 順 番 で も よい の で す 。 理由 の 違い は 、 
MSVC 2010 に は その 方 法 が あり 、MSVC 2013 は お そら く コ ン パ イラ の 心臓 部 で 何 か が 変 
わっ た と 考え られ る か ら で す 。 


第 1.7.5 節 練習 問題 
・ http://challenges.re/51 
e http://challenges. re/52 


第 1.8 節 printf( ) 引数 を 取っ て 


さて 、 ハ ロー ワー ルド / (1.5 on page 11) の 例 で は 、main( ) 関数 本 体 の printf() を 次 
の よう に 置き 換え ます 。 


#include <stdio.h> 


int main() 

{ 
printf("a=%d; b=%d; c=%d", 1, 2, 3); 
return 0; 


}; 


第 1.8.1 節 x86 
x86: 3 つの 引数 
MSVC 


MSVC 2010 Express で コン パイ ル す る と 、 
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$SG3830 DB 'a=%d; b=%d; c=%d', 00H 
push 3 
push 2 
push 1 
push OFFSET $SG3830 
call _printf 
add esp, 16 ; 00000010H 


ほぼ 同じ で す が 、printf( ) の 引数 が 逆 の 順序 で スタ ッ ク に プッ シュ され る の が 分 か り ま 
す 。 最初 の 引数 は 最後 に ブッ シュ され ます 。 


ちな み に 、32 ビ ッ ト 環 境 で の int 型 の 変数 は 、32 ビ ッ ト 幅 、 つ まり 4 バイ ト で す 。 


だ か ら 、 こ こ で は 4 つの 引数 が あり ます 。4*4= 16。 ス タッ ク 内 で ちょ うど 16 バ イト を 占 
め る : 文字 列 へ の 32 ビ ッ ト ポ イン タ と int 型 の 3 つの 数 字 。 


スタ ッ ク ポ イン タ (ESP レジ スタ ) が 関数 呼び 出し の 後 の ADD ESP, X 命令 に よっ て 
の 状態 に 戻っ た と き 、 関 数 引数 の 数 は X を 4 で 割る する だ け で 推測 で きま す 。 


も ちろ ん 、 こ れ は cgec/ 呼び 出し 規約 に 固有 の も の で あり 、32 ビ ッ ト 環 境 の み に 適 用 され 
ます 。 


呼び 出し 規約 を 参照 し て くだ さい 。 (?? on page ??) 


いく つか の 関数 が 互い に 直後 に 戻る 特定 の ケー ス で は 、 コ ン パ イラ は 最後 の 呼び 出し の 後 
に 複数 の 「ADD ESP, X」 命 令 を 1 つ に マー ジ す る こと が で きま す : 


al 


push al 
push a2 
call ... 
push al 
call ... 
push al 
push a2 
push a3 


call ... 
add esp, 24 


実際 の 例 が ここ に あり ます 。 
Listing 1.42: x86 


.text:100113E7 push 3 

.text:100113E9 call sub 100018B0 ; 引数 を 1 つと る (3) 

.text:100113EE call sub 100019D0 ; 引数 を と ら な い 

.text:100113F3 call sub 10006A90 ; 引数 を と ら な い 

.text:100113F8 push 1 

.text:100113FA call sub 100018B0 ; 引数 を 1 つと る (1) 

.text:100113FF add esp, 8 ; 一 度 に スタ ッ ク か ら 2 つ の 引数 を 落と す 
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MSVC と OllyDbg 


で は 、 こ の 例 を OllyDbg に 読み 込み まし ょ う 。 これ は 最も ポピュラー な ユー ザー ラン 
ド win32 デ バッ ガー の 1 つ で す 。MSVC 2012 で /MD オプ ショ ン を 使用 し て サン プル を コン 
パイ ル す る こと が で きま す 。 こ れ は MSVCR*.DLL と リン ク す る こと を 意味 し 、 イ ン ポ ー 
ト さ れ た 関数 を デバ ッ ガ で は っ きり と 見 る こと が で きま す 。 


その 後 、OllyDbg で 実行 可能 ファ イル を ロー ド し ます 。 最初 の ブレ ー ク ポイ ント は 
ntdll.dll に あり 、F9 (実行 ) を 押し ます 。 2 番目 の ブレ ー ク ポイ ント は CRT コ ー ド で す 。 
main( ) 関数 を 見 つけ な けれ ば な り ま せん 。 


コー ド を 一 番 上 まで スク ロー ル し て コー ド を 見 つけ ます (MSVC は コー ド セ ク ショ ン の 最 
初 の と ころ で main( ) 関数 を 割り 当て ます )。 


CPU - main thread, module 1 = [nmi x| 
ss 


PUSH ЕВР gisters (FPL) 
MOU EBP,ESP AX 6ASB8634 HSUCR1108. inttenu 
PUSH 3 gg5BCE18 
PUSH る gggggggg 
PUSH 1 E 
PUSH OFFSET ロ 12F3 ロ gg gg22F93C 
CALL DWORD PTR DS:[ く &HSUCR119.printf>] BP 22F9Z8 
ADD ESP, 10 ES 1 
pr eem B: 00888 
C3 RETN EIP 012F1000 1.012F1000 
B8 405Ңйййй | NOU EAX, SA40 Cg ESg g(FFFFFFFF) 
66:3905 9000; CHP WORD PTR DS:[ く STRUCT IMRGE DOS HERDI Б 1 BLFFFFFFFF) 
74 04 JE SHORT G12F182D аа @(FFFFFFFF) 
ХОВ EAX, EAX @(FFFFFFFF) 
—— снах = Sg FSB ?EFDDggg( FFF) 


Stack [gg22F938]=1 a GŠ А E 
EBP=0022F978 B 9 Ee BCFFFFFEFFÀ 
Local call from 12F1217 


ロロ ロロ йй йй o1 йй йй йй 
FE FF РЕ FF|FF FF FF FF 


1.8: OllyDbg: the very start of the main() function 


PUSH EBP 命令 を クリ ッ ク し 、F2 (ブレ ー ク ポイ ント を 設定 ) を 押し 、F9 (実行 ) を 押し 
ます 。CRT コ ー ド を スキ ッ プ する た め に は 、 こ れ ら の 処理 を 実行 する 必要 が あり ます 。 な 
ぜ な ら 、 実 際 に は まだ 興味 が な いか ら で す 。 
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F8 (ステ ッ プ オー バー) を 6 回 押し ます 、 つ まり 6 つの 命令 を スキ ッ プ し ます 。 


thread, module 1 


PUSH EBP 3 
OU EBP。ESP AX 6 SUCR11B.  initenuv 


SH 1 
8 gg3 ロ 2Fg1 |PUSH OFFSET 912F3ggg A : ETR. ca ASCII "йй needs a 
FF15 9g2g2Eg| CALL DWORD PTR 05: (<&MSUCR110. printf >I 5 8 о BSC EE baxdi е 
834 10 ADD ESP, 10 е 

33Cg ХОВ EAX, EAX 
50 РОР ЕВР Dn 
c3 RETN ' g12F19gE 1.012F100E 

EB 4D5Hgggg | MOU EAX, 5A4D ‚а Бе аара Shit A 

66:3905 aga CHP WORD PTR DS: [<STRUCT IMRGE DOS HERD Б 1 CS 9923 Sobit (FFFFFFFF) 
JE SHORT 912F192D A em asada daa 

: OR EAX ERX 2 B BLFFFFFFFF) 
EDF4 (TISUCRT10. printf) i.e [eds dd 


1.9: OllyDbg: before printf() execution 


これ で 、PC! は CALL printf 命令 を 指し 示し ます 。OllyDbg は 他 の デバ ッ ガ と 同様 に 、 
変更 され た レジ スタ の 値 を 強調 表示 し ます 。 し た が っ て 、F8 を 押す た びに EIP が 変化 し 、 
その 値 が 赤 で 表示 され ます 。 引 数 の 値 が スタ ッ ク に プッ シュ され る た め 、ESP も 変更 され 
ます 。 


スタ ッ ク 内 の 値 は どこ に あり ます か ? 右 下 の デバ ッ ガ ー ウ ィ ン ド ウ を 見 て み ま し ょ う 


E ASCII ' 


v 
012Р121С|._%/6| RETURN from 1.012F1000 to 1.0 
3 F 66980081) Ө 
44|| GBSBSFBS)7AL 
gg5BCE18| FC 


1.10: OllyDbg : 引数 の 値 が プッ シュ され た 後 の ス タッ ク (赤い 長方形 の 枠 線 は グラ フ 
ィ ッ クエ ディ タ で 作者 に よっ て 追加 され まし た ) 


スタ ッ ク 内 の アド レス 、 ス タッ ク 内 の 値 、 お よび 追加 の OllyDbg コメ ント が 3 つ あ り ま す 。 
OllyDbg は printf( ) の よう な 文字 列 を 理解 し て いる の で 、 こ こ に 文字 列 と それ に 付随 す 
る 3 つの 値 を 報告 し ます 。 


フォ ー マ ッ ト 文 字 列 を 右 ク リッ ク し 、「Follow in dump] を クリ ッ ク す る と 、 フ フォー マット 
文字 列 が デバ ッ ガ の 左下 の ウィ ンド ウ に 表示 され 、 メ モリ の 一 部 が 常に 表示 され ます 。 こ 
れ ら の メモ リ 値 は 編集 で きま す 。 書式 文字 列 を 変更 する こと が で きま す 。 こ の 場合 、 例 の 
結果 は 異な り ま す 。 こ の 特殊 な ケー ス で は それ ほど 有用 で は あり ませ ん が 、 エ クサ サイ ズ 
と し て は いい か も し れ ま せん 。 
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F8 キ ー を 押し ます (ステ ッ プ オー バー)。 
コン ソー ル に 次 の 出力 が 表示 され ます 。 


a=1; b=2; c=3 


レジ スタ と スタ ッ ク の 状態 が どの よう に 変化 し た か を 見 て み ま し ょ う 。 
7 55 i 


10 š PUSH EBP 
= HOY. PBP EE D 
PUSH 2 C БаЗсЕЕВЯ MSUCR1168.6R36EES89 


PUSH 1 
PUSH OFFSET 012F3000 8 PTR to ASCII "a-Zd; 


ED 8 
£3 RETN EIP 012F1014 1.012F1014 
BƏ 4D5Hgggg | NOU EAX, 5A4D = 。 BED 
66:3985 ЙЙЙЙЈ CHP WORD PTR DS:L«STRUCT IMAGE DOS HERD C 6 PLEEEREEEE I 
` 74 04 JE SHORT BI2F182D E DIEECEEEERE 
eat >. PB 34 ШР SHORT gtoFlge 2 1 QLFFFFFFFF) _ 
5 f IDAHU ) 
Tnm=O0000010 (decimal 16.) 18 GS9 р 
ESP=0022F928, PTR to ASCII "а=; b=%d; oža" PSEBERRRREY 


Aa 


[Address [Hex dump [ASCII камет ¿ 
g айе 3D 4 6 4 7 d; 


FE FF FF FF 
ай ロロ йй йй 


1.11: printf( ) 実行 後 の OllyDbg 


レジ スタ БАХ に OXD (13) が 含ま れる よう に な り ま し た 。 printf( ) は 印刷 され た 文字 
数 を 返す の で 正しい 。EIP の 値 は 変更 され まし た 。 SBR CALL printf の 後に 来る 命令 の 
アド レス を 含ん で いま す 。ECX と EDX の 値 も 変更 され て いま す 。 明 ら か に 、printf( ) 8 
数 の 隠れ た 機構 は 、 自 身 の 必 要 の た め 、 そ れ ら を 使用 し まし た 。 


非常 に 重要 な 事実 は 、ESP 値 も スタ ッ ク 状 態 も 変更 され て いな いこ と で す ! フォ ー マ ッ 
ト 文字 列 と それ に 対応 する 3 つの 値 が まだ 存在 する こと が わか り ま す 。 実際 に は 、 こ れ は 
cdecl 呼び 出し 規約 の 動作 で す : callee は ESP を 以前 の 値 に 戻し ませ ん 。caller は これ を 
行う 責任 が あり ます 。 
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F8 を も う 一 度 押 し て ADD ESP, 10 命令 を 実行 し ます 。 


PUSH ЕВР 
MOU EBP,ESP 
PUSH 3 
PUSH 2 


PUSH 1 
PUSH OFFSET 12F3ggg 
FF15 S@202FQ) CALL DWORD PTR 05: (<&MSUCR110. printf >] 
83C4 10 ADD ESP, 19 
33Cg , 
50 РОР ЕВР 
B8 4nsngggg | Nov Enx,Sn4D 
В g(FFFFFFFF) 

623905 Bon B(FFFFFFFF) 

4 04 g(FFFFFFFF) 
g(FFFFFFFF) 
7EFDDaaat FFF) 
g(FFFFFFFF) 


4 
СМР WORD PTR_DS:[ く STRUCT IMAGE_DOS_HEADI 
JE SHORT 612F162D 
XOR EAX, EAX 

ME SHORI 9 


)O-O n D 00 


GNE m oc 


йй aac AA Q 


1.12: ADD ESP, 10 命令 実行 後 の OllyDbg 


ESP は 変更 され まし た が 、 値 は まだ スタ ッ ク に あり ます ! は い 、 も ちろ ん : これ ら の 値 を 
ゼロ な ど に 設定 する 必要 は あり ませ ん 。 ス タッ ク ポ イン タ (SP! の 上 に ある も の は すべ 
て ノイ ズ や ガー ベッ ジ で あり 、 ま っ た く 意 味 が あり ませ ん 。 と に か く 、 未 使用 の スタ ッ ク 
エン トリ を クリ ア す る の に 時 間 が か か り 、 誰 も 本 当 に 必要 と は し ませ ん 。 


GCC 
GCC 4.4.1 を 使っ て 同じ プロ グラ ム を Linux で コン パイ ル し て 、IDA で 何 が 得 ら れ た か を 見 
て み ま し ょ う 。 


main proc near 

var_10 = dword ptr -10һ 

уаг_С = dword ptr -0Ch 

var_8 = dword ptr -8 

Var 4 = dword ptr -4 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 10h 
mov eax, offset aADBDCD ; "a=%d; b=%d; c=%d" 
mov [esp+10h+var 4], 3 
mov [esp+10h+var 8], 2 
mov [esp+10h+var C], 1 
mov [esp+10h+var 10], eax 
call _printf 
mov eax, 0 


leave 
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retn 
main endp 


MSVC コ ー ド と GCC コー ド の 違い は 、 引 数 が スタ ッ ク に 格納 され る 方 法 だ け に ある こと に 
注目 し て くだ さい 。 ここ で GCC は PUSH/POP を 使用 せ ず に 、 ス タッ ク を 直接 使用 し て スタ 
ッ ク を 操作 し て いま す 


GCC and GDB 
Linux の GDB66 で も この 例 を 試し て み ま し ょ う 。 


-J オプ ショ ン は 、 デ バッ グ 情 報 を 実行 可能 ファ イル に 含め る よう に コン パイ ラ に 指示 し ま 
す 。 


$ gcc l.c -g -0 1 


$ gdb 1 
GNU gdb (GDB) 7.6.1-ubuntu 


Reading symbols from /home/dennis/polygon/1...done. 


Listing 1.43: printf() に ブレ ー ク ポイ ント を 設定 し まし ょ う 


(gdb) b printf 
Breakpoint 1 at 0x80482f0 


実行 し ます 。 こ こ に は printf( ) 関数 の ソー スコ ー ド が あり ませ ん の で 、GDB は それ を 表 
示す る こと は で きま せん が 、 実 行 す る こと は で きま す 。 


(gdb) run 
Starting program: /home/dennis/polygon/1 


Breakpoint 1, _ printf (format=0x80484f0 "a=%d; b=%d; c=%d") at printf.c:29 
29 printf.c: No such file or directory. 


スタ ッ ク 要 素 を 10 個 表示 し ます 。 最 も 左 の 列 に は 、 ス タッ ク 上 の アド レス が 含ま れ て いま 


° 


(gdb) x/10w $esp 


Oxbffffllc: 0x0804844a 0x080484f0 0x00000001 0x00000002 
Oxbffffl2c: 0x00000003 0x08048460 0x00000000 0x00000000 
Oxbffffl3c: 0xb7e29905 0x00000001 


最初 の 要素 は RA (0х0804844а) で す 。 こ の アド レス の メモ リ を 逆 ア セン ブル し て 確認 す 
る こと が で きま す : 


(gdb) x/51 0x0804844a 
0x804844a <main+45>: mov $0x0 , Seax 
0x804844f <main+50>: leave 
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0x8048450 <main+51>: ret 
0x8048451: xchg %ах,%ах 
0x8048453: xchg %ах,%ах 


2 つの XCHG 命令 は 、NOP に 類似 し た アイ ドル 命令 で す 。 
2 番目 の 要素 (0x0980484f0) は フォ ー マ ッ ト 文 字 列 アド レス で す 。 


(gdb) x/s 0x080484f0 
0x80484f0: "a=%d; b=%d; C=%d" 


次 の 3 つの 要素 (1,2,3) は printf( ) の 引数 で す 。 残り の 要素 は スタ ッ ク 上 の 「garbage」 
に 過ぎ な いか も し れ ま せん が 、 他 の 関数 や ロー カル 変数 な どか ら の 値 で あっ て も か まい ま 
せん 。 


[finish] を 実行 し ます 。 こ の コマ ンド は 、GDB に 「 関 数 の 最後 まで すべ て の 命令 を 実行 す 
る 」 よ う 指 示し ます 。 こ の 場合 、printf( ) の 最後 まで 実行 し て くだ さい 。 


(gdb) finish 

Run till exit from #0 printf (format=0x80484f0 "a=%d; b=%d; c=%d") at 2 
s printf.c:29 

main () at 1.c:6 

6 return 0; 

Value returned is $2 = 13 


GDB は 、printf( ) が EAX (13) を リタ ー ン し た こと を 示し て いま す 。 こ れ は 、OllyDbg 
の 例 の よう に 、 印 刷 さ れる 文字 の 数 で す 。 


また 、「return 0:」 と 、 こ の 式 が 6 行 目 の 1.C ファ イル に ある と いう 情報 も 表示 され ます 。 
実際 に は 、1.c ファ イル は 現在 の ディ レク トリ に あり 、GDB は その 文字 列 を 見 つけ ます 。 
どの C コ ー ド 行 が 現在 実行 され て いる か を GDB は どう や っ て に 知る の で し ょ うか ? これ は 、 
コン パイ ラ が デバ ッ グ 情報 を 生成 し て いる 間 に 、 ソ ー ス コー ド の 行 番号 と 命令 アド レス の 
間 の 関係 の テー ブル も 保存 し て いる た めで す 。 GDB は ソー スレ ベル の デバ ッ ガ で す 。 


レジ スタ を 調べ て み ま し ょ う 。EAX に は 13 が 入っ て いま す 


(gdb) info registers 


eax Оха 13 
есх 0х0 0 
edx 0х0 0 
ebx 0xb7fc0000 -1208221696 
esp Oxbffff120 Oxbffff120 
ebp Oxbffff138 Oxbffff138 
esi 0x0 0 
edi 0x0 0 


eip 0x804844a 0x804844a <таіп+45> 


現在 の 命令 を 逆 ア セン ブル し まし ょ う 。 矢印 は 、 次 に 実行 され る 命令 を 指し 示し ます 。 


(gdb) disas 

Dump of assembler code for function main: 
0x0804841d <+0>: push ‘%ebp 
0x0804841e <+1>: mov *sesp , sebp 
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0x08048420 <+3>: and 
0x08048423 <+6>: sub 
0x08048426 <+9>: movl 
0x0804842e <+17>: movl 
0x08048436 <+25>: movl 
0x0804843e <+33>: movl 
0x08048445 <+40>: call 
=> 0x0804844a <+45>: mov 
0x0804844f <+50>: leave 
0x08048450 <+51>: ret 


End of assembler dump. 


$0xfffffff0,%esp 
$0x10,%esp 
$0x3,0xc(%esp) 
$0x2,0x8(%esp) 
$0x1,0x4(%esp) 
$0x80484f0, (%esp) 
0x80482f0 <printf@plt> 
$0х0 , %eax 


GDB は デフ ォ ル ト で AT&T 構 文 を 使用 し ます 。 


は 可能 で す : 


し か し 、 イ ン テ ル の 構文 に 切り 替え る こ 


と 


(gdb) set disassembly-flavor intel 


(gdb) disas 


Dump of assembler code for function main: 


0x0804841d <+0>: push 
0х0804841е <+1>: тоу 
0х08048420 <+3>: апа 
0x08048423 <+6>: sub 
0x08048426 <+9>: mov 
0x0804842e <+17>: mov 
0x08048436 <+25>: mov 
0x0804843e <+33>: mov 
0x08048445 <+40>: call 
=> 0x0804844a <+45>: mov 
0x0804844f <+50>: leave 
0x08048450 <+51>: ret 


End of assembler dump. 


ebp 

ebp,esp 

esp,OxfffffffO 

esp, 0x10 

DWORD РТА [esp+0xc] , 0x3 
DWORD PTR [esp+0x8] , 0x2 
DWORD PTR [esp+0x4] , 0х1 
DWORD PTR [esp] ,0x80484f0 
0x80482f0 <printf@plt> 
eax, 0x0 


次 の 命令 を 実行 し ます 。GDB は 、 終 わり の 括弧 を 示し ます 。 つ まり 、 ブ ロッ ク を 終了 し ま 


す 。 
(gdb) step 
7 }; 


MOV EAX, 0 命令 実行 後 の レ ジス タ を 


調べ て み ま し ょ う 。 RR, EAX は その 時 点 で 0 で す 。 


(gdb) info registers 


eaX 0x0 0 
ecx 0х0 0 
edx 0x0 0 
ebx Oxb7fc0000 
esp Oxbffff120 
ebp Oxbffff138 
esi 0x0 0 
edi 0x0 0 
eip 0x804844f 


-1208221696 
Oxbffff120 
Oxbffff138 


0x804844f <main+50> 
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x64: 8 つの 引数 


他 の 引数 が スタ ッ ク を 介し て どの よう に 渡さ れ て いる か を 知る た め に 、 引 数 の 数 を 9 
(printf( ) の 書式 文字 列 + 8 の int 変数 ) に 増やし て 、 こ の 例 を 再度 変更 し て み ま し ょ う 。 


#include <stdio.h> 


int main() 
{ 
printf("a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%dNn", 1, 2, 3,7 
> 4, 5, 6, 7; 8); 
return 0; 


MSVC 


前 に 述べ た よう に 、 最 初 の 4 つの 引数 は 、Win64 の RCX 、RDX 、R8 、R8 レジ スタ に 渡さ 
れ な けれ ば な り ま せん 。 そ れ は まさ に 私 た ち が こ こ に 見 る も の で す 。 た だ し 、PUSH で は な 
く MOV 命令 が スタ ッ ク の 準備 に 使用 され る た め 、 値 は 直接 的 に スタ ッ ク に 格納 され ます 。 


Listing 1.44: MSVC 2012 x64 


$SG2923 DB 'a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%d', бан, OOH 
main PROC 
sub rsp, 88 
mov DWORD PTR [rsp+64], 8 
mov DWORD PTR [rsp+56], 7 
mov DWORD PTR [rsp+48], 6 
mov DWORD PTR [rsp+40], 5 
mov DWORD PTR [rsp+32], 4 
mov rod, 3 
mov r8d, 2 
mov edx, 1 
lea rcx, OFFSET FLAT: 562923 
call printf 
; 0 を リタ ー ン 
xor eax, eax 
add rsp, 88 
ret 0 
main ENDP 
TEXT | ENDS 


END 


注意 深い 読者 は 、4 が 十分 で ある と き に な ぜ int 値 の た め に 8 バイ ト が 割り 振ら れ て いる の 
か 尋ね る か も し れ ま せん 。 はい 、 思い 出す 必要 が あり ます : 64 バ イト より 短い 任意 の デー 
タ 型 に 対し て 8 バイ ト が 割り 当て られ ます 。 こ れ は 便宜 上 確立 され て いま す 。 任意 の 引数 
の アド レス を 簡単 に 計算 で きま す 。 ま た 、 そ れ ら は すべ て 整列 し た メモ リア ドレ ス に 配置 
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され て いま す 。32 ビ ッ ト 環 境 で も 同じ で す 。 す べ て の デー タ 型 に 4 バイ ト が 予約 され て い 


ます 。 


GCC 


最初 の 6 つの 引数 が RDI. RSI, RDX, RCX, R8, R9 レジ スタ を 通過 する 点 を 除い て 、 画像 
は x86-64 *NIX OS の 場合 と 似 て いま す 。 残り すべ て は スタ ッ ク を 介し て 。 GCC は 、RDI の 
代わ り に EDI に 文字 列 ポ イン タ を 格納 する コー ド を 生成 し て いま す 。 こ れ ま で は : 1.5.2 
on page 20 


また 、 以 前 は printf() 呼び 出し の 前 に EAX レジ スタ が クリ ア さ れ て いる こと に 注意 し 
て くだ さい : 1.5.2 on page 20 


Listing 1.45: 最適 化 GCC 4.4.6 x64 


.LCO: 
.string "a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%d\n" 
main: 
sub rsp, 40 
mov r9d, 5 
mov r8d, 4 
mov ecx, 3 
mov edx, 2 
mov esi, 1 
mov edi, OFFSET FLAT: .LCO 
xor eax, eax ; ベク トル レジ スタ の 数 を 渡す 
mov DWORD PTR [rsp+16], 8 
mov DWORD PTR [rsp+8], 7 
mov DWORD PTR [rsp], 6 
call printf 
; 0 を リタ ー ン 
xor eax, eax 
add rsp, 40 
ret 
GCC + GDB 


GDB で この 例 を 試し て み ま し ょ う 


$ gcc -g 2.c -o 2 


$ gdb 2 
GNU gdb (GDB) 7.6.1-ubuntu 


Reading symbols from /home/dennis/polygon/2...done. 
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Listing 1.46: ブレ ー ク ポイ ント を printf() に 設定 し て 実行 し まし ょ う 


(gdb) b printf 

Breakpoint 1 at 0x400410 

(gdb) run 

Starting program: /home/dennis/polygon/2 


Breakpoint 1, __printf (format=0x400628 "a=%d; b=%d; c=%d; d=%d; e=%d; f-*d» 
s ; g=%d; h=%d\n") at printf.c:29 
29 printf.c: No such file or directory. 


Registers RSI/RDX/RCX/R8/R9 have the expected values. RIP has the address of the 
very first instruction of the printf() function. 


レジ スタ RSI/RDX/RCX/R8/R9 は 期待 値 を 持っ て いま す 。RIP に は 、printf() 関数 の 最初 
の 命令 の アド レス が あり ます 。 


(gdb) info registers 

rax 0x0 0 

rbx 0x0 0 

rcx 0x3 3 

rdx 0х2 2 

rsi 0x1 1 

rdi 0x400628 4195880 

rbp Ox7fffffffdf60 Ox7fffffffdf60 

rsp Ox7fffffffdf38 Ox7fffffffdf38 

r8 0х4 4 

г9 0х5 5 

г10 Ox7fffffffdceO 140737488346336 

r11 0x7ffff7a65f60 140737348263776 

r12 0x400440 4195392 

r13 Ox7fffffffe040 140737488347200 

r14 0x0 0 

r15 0x0 0 

rip Ox7ffff7a65f60 Ox7ffff7a65f60 < printf> 
Listing 1.47: let's inspect the format string 

(gdb) x/s $rdi 

0x400628: "a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%dNn" 


今度 は x/g コ マン ド で スタ ッ ク を ダン プ し まし ょ う 。g lš. giant words、 つ まり 64 ビ ッ ト 
の 単語 を 表し ます 。 


(gdb) x/10g $rsp 

Ox7fffffffdf38: 0x0000000000400576 0x0000000000000006 
Ox7fffffffdf48: 0x0000000000000007 0x00007 ff f00000008 
Ox7fffffffdf58: 0x0000000000000000 0x0000000000000000 
Ox7fffffffdf68: 0x00007ffff7a33de5 0x0000000000000000 
Ox7fffffffdf78: 0x00007fffffffe048 0x0000000100000000 


最初 の スタ ッ ク 要 素 は 、 前 の 例 と 同様 NNA で す 。3 の 値 も スタ ッ ク に 通さ れ ま す : 6,7,8。 ま た 、 
クリ ア さ れ て いな い 32 ビ ッ ト の 8 が が 渡さ れ た こと が わか り ま す : 0x00007fff00000008, 
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felt int 8 (32 v» F) な の で 、 それ は 問題 あり ませ ん 。 し た が っ て 、 上 位 レ ジス タ ま た 
は スタ ッ ク 有 要素 の 部 分 に は 「 ラ ンダ ム な ゴミ 」 が 含ま れ て いる 可能 性 が あり ます 。 
printf( ) の 実行 後に コン トロ ー ル が 返る 場所 を 見 れ ば 、GDB は main( ) 関数 全体 を 表示 
し ます : 


(gdb) set disassembly-flavor intel 
(gdb) disas 0x0000000000400576 
Dump of assembler code for function main: 


0x000000000040052d <+0>: push rbp 

0x000000000040052e <+1>: mov rbp, rsp 
0x0000000000400531 <+4>: sub rsp,0x20 
0x0000000000400535 «48»: mov DWORD PTR [rsp+0x10] ,0x8 


0x000000000040053d «4162»: mov 
0x0000000000400545 «4242: mov 


DWORD РТА [rsp+0x8] , 0x7 
DWORD PTR [rsp] , 0х6 


0x000000000040054c <+31>: mov r9d,0x5 
0x0000000000400552 <+37>: mov r8d, 0x4 
0x0000000000400558 «443»: mov ecx, 0x3 
0x000000000040055d «448»: mov edx, 0x2 
0x0000000000400562 «453»: mov esi,0x1 
0x0000000000400567 «458»: mov edi,0x400628 
0x000000000040056c «463»: mov eax,0x0 
0x0000000000400571 «468»: call 0x400410 <printf@plt> 
0x0000000000400576 «473»: mov eax, 0x0 


0x000000000040057b «478»: leave 
0x000000000040057c «479»: ret 
End of assembler dump. 


printf() の 実行 を 終了 し 、EAX を ゼロ に する 命令 を 実行 し 、EAX レジ スタ が 正確 に ゼロ 
の 値 を 持つ こと に 注意 し て くだ さい 。RTIP (£. LEAVE 命令 、 すなわち main( ) 関数 の 最後 
か ら 2 番 目 の 命令 を 指す よう に な り ま し た 。 


(gdb) finish 
Run till exit from #0 | printf (format=0x400628 "a=%d; b=%d; c=%d; d=%d; e 
V =%d; f=%d; g=%d; h=%dNn") at printf.c:29 


a=1; b=2; c=3; d=4; e=5; f=6; g=7; h=8 

main () at 2.c:6 

6 return 0; 

Value returned is $1 = 39 

(gdb) next 

7 }; 

(gdb) info registers 

rax 0x0 0 

rbx 0x0 0 

rcx 0x26 38 

rdx Ox7ffff7dd59f0 140737351866864 
rsi Ox7fffffd9 2147483609 

rdi 0x0 0 

rbp Ox7fffffffdf60 Ox7fffffffdf60 

rsp Ox7fffffffdf40 Ox7fffffffdf40 

r8 Ox7ffff7dd26a0 140737351853728 
r9 Ox7ffff7a60134 140737348239668 
r10 Ox7fffffffd5bO 140737488344496 
r11 0x7ffff7a95900 140737348458752 
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г12 0x400440 4195392 

r13 0x7fffffffe040 140737488347200 
r14 0x0 0 

r15 0x0 0 

rip 0x40057b 0x40057b <main+78> 

第 1.8.2 節 ARM 


ARM: 3 つの 引数 


引数 を 渡す た め の ARM の 伝統 的 な スキ ー ム (呼び 出し 規約 ) は 、 次 の よう に 動作 し ます 。 
最初 の 4 つの 引数 は RO-R3 レジ スタ に 渡さ れ ま す 。 残り の 引数 は スタ ッ ク を 介し て 。 こ れ 
は fastcall (2? on раде ??) また は win64 (?? on page ??) の 引数 渡し スキ ー ム に 似 て いま 
す 。 
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非 最適 化 Keil 6/2013 (ARM モ ー ド ) 


Listing 1.48: 非 最適 化 Keil 6/2013 (ARM モ ー ド ) 


.text:00000000 main 
.text:00000000 10 40 2D E9 STMFD SP!, {R4,LR} 


.text:00000004 03 30 AO E3 MOV R3, #3 

.text:00000008 02 20 AO E3 MOV R2, #2 

.text:0000000C 01 10 AO ЕЗ MOV R1, #1 

.text:00000010 08 00 8F E2 ADR RO, aADBDCD ; "a=%d; b=%d; c=%d" 
.text:00000014 06 00 00 EB BL . 2printf 

.text:00000018 00 00 AO E3 MOV RO, 40 ; return 0 


.text:0000001C 10 80 BD ЕВ  LDMFD SP!, {R4,PC} 


し た が っ て 、 最初 の 4 つの 引数 は 、 RO-R3 レジ スタ を この 順序 で 渡し ます 。 RO の printf() 
形式 文字 列 へ の ポイ ンタ 、R1 の 1、R2 の 2、R3 0308 C3, 0x18 の 命令 は ВО に 0 を 書 
き 込 み ま す 。 これ は return 0 と な る C の 命令 文 で す 。 珍 し いこ と は 何 も あ り ま せん 。 


最適 化 Keil 6/2013 は 同じ コー ド を 生成 し ます 。 


最適 化 Keil 6/2013 (Thumb モ ー ド ) 


Listing 1.49: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 
.text:00000000 main 


.text:00000000 10 B5 PUSH {R4,LR} 
. text: 00000002 03 23 MOVS R3, #3 
. text: 00000004 02 22 MOVS R2, #2 
.text:00000006 01 21 MOVS R1, £1 


.text:00000008 02 АО ADR RO, aADBDCD ; "a=%d; b=%d; c=%d" 
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.text:0000000A 00 FO OD F8 BL _ 2printf 
.text:0000000E 00 20 MOVS RO, 40 
.text:00000010 10 BD POP {R4,PC} 


ARM モ ー ド の 最適 化 さ れ て いな い コ ー ド と の 大 き な 違 い は あり ませ ん 。 
最適 化 Keil 6/2013 (ARM モ ー ド ) + return を 削除 し て みる 


return 0 を 取り 除い て 例 を 少し 修正 し まし ょ う : 


#include <stdio.h> 


void main() 


{ 
}; 


printf("a=%d; b=%d; c=%d", 1, 2, 3); 


結果 は ちょ っ と 珍し く な り ま し た 。 
Listing 1.50: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


.text:00000014 main 


.text:00000014 03 30 A0 E3 MOV R3, #3 

.text:00000018 02 20 A0 E3 MOV R2, #2 

.text:0000001C 01 10 AO E3 MOV R1, #1 

.text:00000020 1E OE 8F E2 ADR RO, aADBDCD ; "a=%d; b=%d; c=%dNn" 
.text:00000024 CB 18 00 EA B _ 2printf 


これ は ARM モ ー ド 用 に 最適 化 さ れ た (-03 ) バー ジョ ン で あり 、 今 回 は B を 使い 慣れ た 
BL で は な く 最 後 の 命令 と 見 な し ます 。 こ の 最適 化 さ れ た バー ジョ ン と 前 の バー ジョ ン ( 最 
適 化 な し で コン パイ ル さ れ た も の ) と の 別 の 違い は 、 関 数 の プロ ロー グ と エピ ロー グ (RO 
と LR レジ スタ の 値 を 保持 する 命令 ) の 欠如 で す 。B 命令 は 、x86 の IMP と 同様 に 、LR レ ジ 
スタ の 操作 な し で 別 の アド レス に ジャ ンプ する だ け で す 。 そ れ は な ぜ 機 能 す る の で し ょ う 
か ? 実際 、 この コー ド は 以前 の コー ド と 事実 上 同等 で す 。 主 な 理由 は 2 つ あ り ま す 。1) А 
タッ ク も SP! (スタ ッ ク ポ イン タ ) も 変更 され て いま せん 。2) printf( ) の 呼び 出し が 最 
後 の 命令 な の で 、 その 後 は 何 も 起 こり ませ ん 。 完了 す る と 、printf( ) 関数 は LR に 格納 さ 
れ て いる アド レス に コン トロ ー ル を 返し ます 。LR は 現在 、 関 数 が 呼び 出さ れ た ポイ ント の 
アド レス を 格納 し て いる の で 、printf( ) か ら の 制御 は その ポイ ント に 返さ れ ま す 。 し た 
が っ て 、LR を 変更 する 必要 が な いた め 、LR を 節約 する 必要 は あり ませ ん 。printf( ) 以外 
の 関数 呼び 出し が な いた め 、LR を 変更 する 必要 は あり ませ ん 。 さ ら に 、 こ の 呼び 出し の 後 、 
私 た ち は 何 も し ませ ん 1 これ が その よう な 最適 化 が 可能 な 理由 で す 。 


この 最適 化 は 、 最 後 の ス テー トメ ント が 別 の 関数 の 呼び 出し で ある 関数 で よく 使用 され ま 
す 。 同様 の 例 を ここ に 示し ます : 1.15.1 on page 191 


ARM64 
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非 最 適 化 GCC (Linaro) 4.9 


Listing 1.51: 非 最適 化 GCC (Linaro) 4.9 


.LC1 : 
.String "a=%d; b=%d; с=%а" 
f2: 
: スタ ッ ク フ レー ム に FP と LR を 保存 する : 
stp x29, x30, [sp, -16]! 
; スタ ッ ク フ レー ム を 設定 する (FP=SP): 
add x29, sp, 0 
adrD x0, .LC1 
add x0, x0, :1012:.LC1 
mov wl, 1 
mov w2, 2 
mov w3, 3 
bl printf 
mov w0, 0 
; ЕР と LR を リス ト ア する 
tdp x29, x30, [sp], 16 
ret 


第 1 の 命令 STP (スト ア ペ ア ) (£. FP (X29) お よび LR (X30) を スタ ッ ク に 保存 し ます 。 
2 番目 の ADD X29, SP, 6 命令 が スタ ッ ク フ レー ム を 形成 し ます 。SP! の 値 を X29 に 書き 
込む だ け で す 。 


次 に 、 使 い 慣 れ た ADRP/ADD 命令 ペア を 参照 し ます 。 これ は 、 文 字 列 へ の ポイ ンタ を 形成 
し ます 。 す な わ ち 、 /o72 は 、LC1 ア ドレ ス の 下位 12 ビ ッ ト を ADD 命令 の オペ コー ド に 書き 
込み ます 。 printf( ) の 文字 列 書式 の sd は 32 ビ ッ ト int な の で 、1,.2 お よび 3 は 32 ビ ッ ト 
の レジ スタ 部 分 に ロー ド さ れ ま す 。 


最適 化 GCC (Linaro) 4.9 は 同じ コー ド を 生成 し ます 。 


ARM: 8 つの 引数 
前 の セク ショ ン の 9 つの 引数 を 使っ て 例 を 再 利用 し て み ま し ょ う : 1.8.1 on page 63 


#include <stdio.h> 


int main() 
{ 
printf("a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%d\n", 1, 2, 3,27 
G 4, 55 6, 7, 8); 
return 0; 


}; 


最適 化 Keil 6/2013: ARM モ ー ド 


. text: 00000028 main 
. text: 00000028 
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.text:00000028 var 18 - -0x18 
.text:00000028 var 14 = -0x14 
.text:00000028 var 4 = -4 


.text:00000028 

.text:00000028 04 EO 2D E5 STR LR, [SP,#var_ 4]! 
.text:0000002C 14 DO 4D E2 SUB SP, SP, #0x14 
.text:00000030 08 30 AO ЕЗ MOV R3, #8 

.text:00000034 07 20 A0 E3 MOV R2, $7 

.text:00000038 06 10 A0 E3 MOV R1, £6 

.text:0000003C 05 00 AO ЕЗ MOV RO, #5 

.text:00000040 04 CO 8D E2 ADD R12, SP, #0x18+var_14 
.text:00000044 OF 00 8C ЕВ STMIA R12, {RO-R3} 
.text:00000048 04 00 AO ЕЗ MOV RO, £4 

.text:0000004C 00 00 8D E5 STR RO, [SP,#0x18+var 18] 
.text:00000050 03 30 AO ЕЗ MOV R3, £3 

.text:00000054 02 20 A0 E3 MOV R2, #2 

.text:00000058 01 10 AO ЕЗ MOV R1, 71 

.text:0000005C 6E OF 8F E2 ADR RO, aADBDCDDDEDFDGD ; "a=%d; b=%d; c=%d; 


d=%d; e=%d; f=%d; g=%".. 


.text:00000060 BC 18 00 EB BL _ 2printf 
.text:00000064 14 DO 8D E2 ADD SP, SP, #0х14 
.text:00000068 04 FO 9D E4 LDR PC, [SP+4+var 4],#4 


この コー ド は いく つか の 部 分 に 分 ける こと が で きま す : 


関数 プロ ロー グ : 
最初 の STR LR, [SP,£var 4]! 命令 は 、 こ の レジ スタ を printf( ) 呼び 出し に 使 


用 する 予定 で ある た め 、LR を スタ ッ ク に 保存 し ます 。 最後 の 感嘆 符 は 、 事 前 索引 を 示 
し ます 。 


これ は 、 ま ず SP! を 4 減少 させ た 後 、SP! に 格納 され た アド レス に LR を 保存 する こと 
を 意味 し ます 。 こ れ は x86 の PUSH に 似 て いま す 。 も っ と 読む : 1.30.2 on page 536 


第 2 の SUB SP, SP, #0x14 命令 は 、 ス タッ ク 上 に 0x14 (20) バイ ト を 割り 当て 
る た め に SP! (スタ ッ ク ポ イン タ ) を 減少 させ る 。 実 際 に は 、 ス タッ ク を 介し て 5 つ 
の 32 ビ ッ ト 値 を printf() 関数 に 渡さ な けれ ば な ら ず 、 そ れ ぞ れ が 4 バイ ト を 占め 
ます 。 こ れ は 正確 に 5 ぇ 4=20 で す 。 他 の 4 つの 32 ビ ッ ト 値 は せ 、 レジ スタ に 通さ れる 。 


スタ ッ ク を 介し て 5,6,7 お よび 8 を 渡す : それ ら は それ ぞ れ RO, R1, А と ВЗ レジ ス 
タ に 格納 され る 。 

次 に 、ADD R12, SP, #0x18+var_14 命令 は 、 こ れ ら 4 つの 変数 が 格納 され る スタ 
ッ ク ア ドレ ス を R12 レジ スタ に 書き 込み ます 。 var 14 は 、 ス タッ ク に アク セス する 
コー ド を 便利 に 表示 する た め に IDA に よっ て 作成 され た -0x14 に 等 し い ア セン ブリ 
マク ロ で す 。IDA に よっ て 生成 され る var? マク ロ は 、 ス タッ ク 内 の ロー カル 変数 を 
反映 し ます 。 


し た が っ て 、SP+4 は R12 レジ スタ に 格納 され ます 。 

次 の STMTA R12, RO-R3 命令 は 、 レ ジス タ RQ-R3 の 内 容 を R12 が 指す メモ リ に 
書き 込み ます 。 ЅТМІА は 、 後に 複数 の イン クリ メン ト を 格納 し ます 。 Increment After 
は 、 各 レジ スタ 値 が 書き 込ま れ た 後に R12 が 4 ずつ 増加 する こと を 意味 する 。 


スタ ッ ク を 介し て 4 を 渡す : 4 が ВО に 格納 され 、STR RO, [SP,#9x18+var 18] 命 
令 の 助け を 借り て この 値 が スタ ッ ク に 保存 され ます 。var 18 は -0x18 な の で 、 オ フ 
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セッ ト は 0 に な り ま す 。 し た が っ て 、RO レジ スタ (4) の 値 は SP! に 書き 込ま れ た ア 
ドレ ス に 書き 込ま れ ま す 。 


レジ スタ 経由 で 1,2,3 を 渡す 最初 の 3 つの 数 値 (da、b、c) (それ ぞ れ 1.,2,3) の 値 は 、 
printf 0 呼び 出し の 直前 に R1 、R2 ВЗ レジ スタ に 渡さ れ ま す 。 


printf( ) 呼び 出し 。 
関数 エピ ロー グ : 
ADD SP, SP, #0х14 命令 は SP! ポ イン タ を 元 の 値 に 戻し て 、 ス タッ ク に 格納 され て 


いる も の を すべ て 取り 消し ます 。 も ちろ ん 、 ス タッ ク に 格納 され て いる も の は そこ に 
と どまり ます が 、 後 続 の 関数 の 実行 中 に すべ て 書き 換え られ ます 。 


LDR PC, [SP+4+var 4] ,#4 命令 は 、 保 存 さ れ た LR 値 を スタ ッ ク か ら PC! レ ジス タ 
に ロー ド し て 、 機 能 を 終了 させ ます 。 感嘆 符 は あり ませ ん 。 次 に 、 SPHE (4+ og7 4 = 
44-(-4) = 0) に 格納 され て いる アド レス か ら 最 初 に ロー ド さ れる た め 、 こ の 命令 は 
LDR PC, [SP] ,#4 に 似 て いま す )、SP! は 4 だ け 増 加 し ます 。 こ れ は ポス トイ ン デ ッ 
クス 57 と 呼ば れ ま す 。 な ぜ IDA は その よう な 指示 を 表示 する の で すか ? なぜなら 、 ス 
タッ クレ イア ウト と 、var 4 が ロー カル スタ ッ ク の LR 値 を 保存 する た め に 割り 当て 
られ て いる と いう 事実 を 説明 し た いか ら で す 。 こ の 命令 は 、x86 の POP PC と 多少 似 
て いま す 。 


最適 化 Keil 6/2013: Thumb モ ー ド 


.text:0000001C printf main2 

.text:0000001C 

.text:0000001C var 18 - -0x18 

.text:0000001C var 14 = -0x14 

.text:0000001C var 8 = -8 

.text:0000001C 

.text:0000001C 00 B5 PUSH {LR} 

. text: 0000001E 08 23 MOVS R3, #8 

. text: 00000020 85 BO SUB SP, SP, #0x14 

.text:00000022 04 93 STR R3, [SP,#0x18+var_ 8] 

. text: 00000024 07 22 MOVS R2, #7 

. text: 00000026 06 21 MOVS R1, #6 

. text: 00000028 05 20 MOVS RO, #5 

.text:0000002A 01 AB ADD АЗ, SP, #0x18+var_ 14 

.text:0000002C 07 C3 STMIA  R3!, {RO-R2} 

.text:0000002E 04 20 MOVS RO, #4 

.text:00000030 00 90 STR RO, [SP,#0x18+var_ 18] 

.text:00000032 03 23 MOVS R3, 43 

.text:00000034 02 22 MOVS R2, #2 

.text:00000036 01 21 MOVS R1, #1 

.text:00000038 AO аң ADR RO, aADBDCDDDEDFDGD ; "a=%d; b=%d; c=%d; 
d= Sd; e= %d; f= %d =%" , 

.text:0000003A 06 FO 「p9 F8 BL _ 2printf 

.text:0000003E 

.text:0000003E loc 3E ; CODE XREF: examplel3 f+16 


67 も っ と 読む : 1.30.2 on page 536 
68x86 で は POP を 使っ て IP/EIP/RIP の 値 を 設定 する こと は 不可 能 で す が 、 ア ナ ロ ジ ー と し て は よい で し ょ う 
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.text:0000003E 05 BO ADD SP, SP, #0x14 
.text:00000040 00 BD POP (PC) 


出力 は 前 の 例 と ほぼ 同じ で す 。 た だ し 、 こ れ は Thumb コ ー ド で あり 、 値 は スタ ッ ク に 別々 
に パッ ク さ れ ま す 。8 が 先 に 進み 、 次 に 5,6,7、 お よび 4 が 3 番目 に 進み ます 。 


最適 化 Xcode 4.6.3 (ШУМ): ARM モ ー ド 


_ text:0000290C _printf_main2 

_ text:0000290C 

_ text:0000290C var 1C = -0x1C 
text :0000290C var C = -0xC 


text :0000290C 

. text:0000290C 80 40 2D E9 STMFD SP!, {R7,LR} 

. text:00002910 OD 70 AO ЕШ MOV R7, SP 
text:00002914 14 DO 4D E2 SUB SP, SP, 40x14 
text:00002918 70 05 01 E3 MOV RO, #0х1570 
text:0000291C 07 CO AO ЕЗ MOV R12, #7 

_ text:00002920 00 00 40 ЕЗ MOVT RO, #0 

. text:00002924 04 20 AO ЕЗ MOV R2, #4 

_ text:00002928 00 00 8F EO ADD RO, PC, RO 

_ text:0000292C 06 30 AO ЕЗ MOV R3, #6 

text:00002930 05 10 AO ЕЗ MOV R1, #5 

text:00002934 00 20 8D E5 STR R2, [SP,#0x1C+var_1C] 

text:00002938 0A 10 8D E9  STMFA SP, {R1,R3,R12} 

_ text:0000293C 08 90 AO ЕЗ MOV R9, #8 

. text:00002940 01 10 AO ЕЗ MOV R1, #1 

text:00002944 02 20 AO ЕЗ MOV R2, 42 

text:00002948 03 30 AO ЕЗ MOV R3, 43 

text:0000294C 10 90 8D E5 STR R9, [SP,#0x1C+var C] 

_ text:00002950 A4 05 00 EB BL | printf 

. text:00002954 07 DO AO ЕШ MOV SP, R7 

. text:00002958 80 80 BD E8  LDMFD SP!, {R7,PC} 


STMFA (Store Multiple Increment Before) 命令 の 同義 語 で ある STMIB (Store Multiple 
Full Ascending) 命令 を 除き 、 既 に 見 て きた も の と ほぼ 同じ で す 。 こ の 命令 は 、SP! レ ジス 
タ の 値 を 増加 させ 、 逆 の 順序 で これ ら 2 つ の 動作 を 実行 する の で は な く 、 次 の レジ スタ 値 
を メモ リ に 書き 込む だ け で す 。 


目 を 引く も う 一 つの こと は 、 命 令 が 一 見 無 作為 に 配置 され て いる こと で す 。 例 えば 、R0 レ 
ジス タ の 値 は 、 ア ドレ ス 0х2918, 0x2920 and 0х2928 の 3 箇所 で 操作 で きま す 。 


し か し な が ら 、 最 適 化 コン パイ ラ は 、 実 行 中 に より 高い 効率 を 達成 する た め に 、 命 令 を ど 
の よう に 順序 付け する か に 関す る 独自 の 理由 を 有する こと が で きる 。 


通常 、 プ ロ セ ッ サ は 、 並 ん で 配置 され た 命令 を 同時 に 実行 し よう と 試み ます 。 た と えば 、 
MOVT RO, #0 ADD RO, PC, RO な どの 命令 は 、 両 方 と も RO レジ スタ を 変更 する た め 、 
同時 に 実行 する こと は で きま せん 。 一 方 、MOVT RO, #0. MOV R2, #4 命令 は 、 実 行 の 影 
響 が 互い に 矛盾 し な いた め 、 同 時 に 実行 する こと が で きま す 。 お そら く 、 コ ン パ イラ は そ 
の よう な か 方法 で コー ド を 生成 し よう と 試み ます (どこ で も 可能 で す )。 
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最適 化 Xcode 4.6.3 (LLVM): Thumb-2 モ ー ド 


_ text:00002BA0 _printf_main2 

_ text:00002BA0 

_ text:00002BA0 var_1C = -0x1C 

_ text:00002BA0 var_18 = -0x18 

_ text:00002BA0 var_C = -0xC 

_ text:00002BA0 

. text:00002BA0 80 B5 PUSH {R7,LR} 

_ text:00002BA2 6F 46 MOV R7, SP 

. text:00002BA4 85 BO SUB SP, SP, #0x14 
_ text:00002BA6 41 F2 D8 20 MOVW RO, #0x12D8 


. text:00002BAA 4F FO 07 OC MOV.W R12, #7 
. text:00002BAE CO F2 00 00 MOVT.W RO, #0 


_ text:00002BB2 04 22 MOVS R2, #4 

_ text:00002BBA 78 44 ADD RO, PC ; char * 

_ text:00002BB6 06 23 MOVS R3, #6 

. text:00002BB8 05 21 MOVS R1, #5 

. text:00002BBA 0р F1 04 OE ADD.W LR, SP, #0x1C+var_18 
. text:00002BBE 00 92 STR R2, [SP ,#9x1C+var 1C] 


_ text:00002BCO 4F FO 08 09 MOV.W R9, £8 
_ text:00002BC4 8E E8 QA 10 STMIA.W LR, {R1,R3,R12} 


_ text:00002BC8 01 21 MOVS R1, 71 

_ text:00002BCA 02 22 MOVS R2, #2 

_ text:00002BCC 03 23 MOVS R3, #3 

. text:00002BCE CD F8 10 90 STR.W R9, [SP,#0x1C+var C] 
. text:00002BD2 01 FO 0A EA BLX | printf 

_ text:00002BD6 05 BO ADD SP, SP, 40x14 

_ text:00002BD8 80 BD POP {R7,PC} 


Thumb/Thumb-2 命 令 が 代わ り に 使用 され る 点 を 除い て 、 出 力 は 前 の 例 と ほぼ 同じ で す 。 


ARM64 


非 最 適 化 GCC (Linaro) 4.9 


Listing 1.52: 非 最適 化 GCC (Linaro) 4.9 


.LC2: 
.string "a=%d; b=%d; c=%d; d=%d; е=%0; f=%d; g=%d; h=%d\n" 
f3: 
: スタ ッ ク に スペ ー ス を あけ る : 
sub sp, sp, #32 
: スタ ッ ク フ レー ム に FP と LR を 保存 する : 
stp x29, x30, [sp,16] 
; スタ ッ ク フ レー ム を 設定 する (FP=SP+16): 
add x29, sp, 16 


adrp x0, .LC2 ; "a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%dNn" 
add x0, x0, :1012:.LC2 
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mov w1, 8 ; 9th argument 
str w1, [sp] ; store 9th argument in the stack 
mov w1, 1 
mov w2, 2 
mov w3, 3 
mov w4, 4 
mov w5, 5 
mov w6, 6 
mov w7, 7 
bl printf 
sub sp, x29, £16 
; FP と LR と リス ト ア する 
1ар x29, x30, [sp,16] 
add sp, sp, 32 
ret 


最初 の 8 つの 引数 は 、X レ ジス タ ま た は W レ ジス タ に 渡さ れ ま す 。[Procegu/e Call Standard 
for the ARM 64-bit Architecture (AArch64), (2013)]€?. 文字 列 ポ イン タ は 64 ビ ッ ト の レ 
ジス タ を 必要 と する た め 、XG で 渡さ れ ま す 。 それ 以 外 の 値 は すべ て int 型 32 ビ ッ ト 型 な の 
で 、 レ ジス タ (W-) の 32 ビ ッ ト 部 分 に 格納 され ます 。 第 9 引数 (8) は スタ ッ ク を 介し て 渡 
され ます 。 実際 に は 、 レ ジス タ の 数 が 限ら れ て いる た め 、 多 数 の 引数 を レジ スタ に 渡す こ 
と は で きま せん 。 


最適 化 GCC (Linaro) 4.9 は 同じ コー ド を 生成 し ます 。 


第 1.8.3 節 MIPS 

3 arguments 

最適 化 GCC 4.4.5 

「 ハ ロー ワー ルド !」 の 例 と の 主 な 違い は 、puts ( ) の 代わ り に printf( ) が 呼び 出さ れ 、 さ 
ら に 3 つの 引数 が レジ スタ $5...$7 (また は $A0.……$A2 ) に 渡さ れる と いう 点 で す 。 その た 


め 、 こ れ ら の レジ スタ の 前 に A- が 付い て いま す 。 これ は 、 関 数 引数 の 受け 渡し に 使用 され 
る こと を 意味 し ます 。 


Listing 1.53: 最適 化 GCC 4.4.5 (アセ ン ブ リ 出力 ) 


$LCO: 
.ascii "a=%d; b=%d; c=%d\000" 
main: 
; 関数 プロ ロー グ : 
lui $28,%hi( gnu local gp) 
addiu $sp,$sp,-32 
addiu $28,$28,%lo(_ gnu local gp) 
SW $31,28($sp) 
; printf() の アド レス を ロー ド す る : 
lw $25,%call16(printf) ($28) 


; テキ スト 文字 列 の アド レス を ロー ド し 、printf ( ) の 1 番目 の 引数 を 設定 する : 


69 以 下 で 利用 可能 http://infocenter.arm.com/help/topic/com.arm.doc.ihi0055b/IHI0055B _ 
aapcs64. pdf 
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lui $4,%hi($LC0) 

addiu $4, $4,%10($1С0) 
; printf() の 2 番目 の 引数 を 設定 する : 

li $5,1 # 0x1 
; printf() の 3 番目 の 引数 を 設定 する : 

li $6,2 # 0х2 
; printf() を コー ル す る : 

jalr $25 
; printf() の 4 番目 の 引数 を 設定 する (分 岐 遅 延 ス ロッ ト ) : 

li $7,3 # 0x3 
; 関数 エピ ロー グ : 

tw $31,28($sp) 
: 戻り 値 に 9 を 設定 する : 

move $2,$0 
; E 

j $31 

addiu $sp,$sp,32 ; branch delay slot 


Listing 1.54: 最適 化 GCC 4.4.5 (IDA) 


. text: 00000000 main: 


. text: 00000000 


. text: 00000000 var 10 
. text: 00000000 var 4 


. text: 00000000 
: 関数 プロ ロー グ : 
. text: 00000000 
. text: 00000004 
. text: 00000008 
. text: 0000000C 
. text: 00000010 


; printf() の アド レス を ロー ド す る : 


.text:00000014 


; テキ スト 文字 列 の アド レス を ロー ド し 、printf( ) の 1 番目 


= -0x10 

= -4 

lui $gp, (__дпи local ор >> 16) 
addiu $sp, -0x20 

ta $gp, ( gnu local gp & OxFFFF) 
sw $ra, 0x20+var 4($sp) 

Sw $gp, 0х20+уаг_10($5р) 

lw $t9, (printf & OxFFFF) ($gp) 


の 引数 を 設定 する : 


.text:00000018 la $a0, $LCO # "a-*d; b-*sd; 
; printf() の 2 番目 の 引数 を 設定 する : 

. text: 00000020 li $al, 1 

; Printf( ) の 3 番目 の 引数 を 設定 する : 

.text:00000024 li $a2, 2 

; printf() を コー ル す る : 

.text:00000028 jatr $t9 

; printf() の 4 番目 の 引数 を 設定 する (分 岐 遅 延 ス ロッ ト ) : 

.text:0000002C li $a3, 3 

; 関数 エピ ロー グ : 

. text : 00000030 lw $га, Ox20+var_4($sp) 

; 戻り 値 に 9 を 設定 する : 

. text: 00000034 move $v0, $zero 

L リタ ニン 

. text : 00000038 jr $ra 

. text: 0000003C addiu  $sp, 0x20 ; branch delay slot 


IDA iż, LUI お よび ADDIU 命令 の ペア を 1 つの LA 疑似 命令 に 統合 し まし た 。 だ か ら 、 ア 
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ドレ ス 0x1C に 命令 が な い の は 、LA が 8 バイ ト を 占有 し て いる か ら で す 。 


非 最適 化 GCC 4.4.5 


非 最適 化 GCCC は も っ と 冗長 で す 。 
Listing 1.55: 非 最適 化 GCC 4.4.5 (アセ ン ブ リ 出力 ) 


$LCO: 


.ascii 


main: 


, 


関数 プロ ロー グ : 
addiu 
Sw 
Sw 
move 
lui 
addiu 


lui 

addiu 
printf() の 1 番 

move 
printf() の 2 番 


"a=%d; b=%d; c=%d\000" 


$sp,$sp,-32 

$31,28($sp) 

$fp,24($sp) 

$fp,$sp 
$28,%hi( gnu local gp) 


$28, $28,%lo( gnu local gp) 
テキ スト 文字 列 の アド レス を ロー ド す る : 


$2,%h1($LCO ) 
$2,$2,%10($1_С0) 


目 の 引 数 を 設定 する : 


$4,$2 


の 引数 を 設定 する : 


li 
printf() の 3 番 
li 


$5,1 


目 の 引 数 を 設定 する : 


$6, 2 


printf() の 4 番 
li 


目 の 引 数 を 設定 する : 


$7,3 


printf( ) の アド レス を 取得 する : 


tw $2,%call16(printf) ($28) 
nop 
printf() を コー ル す る : 
move $25,$2 
jalr $25 
nop 
関数 エピローグ : 
lw $28,16($fp) 
戻り 値 に 9 を 設定 する : 
move $2,$0 
move $sp,$fp 
lw $31,28($sp) 
lw $fp,24($sp) 
addiu $5р,$5р,32 
リタ ー ン シン 
j $31 
nop 


# 0х1 


# 0х2 


# 0x3 


Listing 1.56: 非 最適 化 GCC 4.4.5 (IDA) 


. text: 00000000 main: 
. text: 00000000 
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.text:00000000 var 10 
.text:00000000 var 8 
.text:00000000 var 4 
. text : 00000000 

; 関数 プロ ロー グ : 

. text : 00000000 

. text: 00000004 

. text : 00000008 

. text : 0000000C 

. text: 00000010 

. text: 00000018 

: テキ スト 文字 列 の アド レス を ロー ド : 
. text: 0000001C 


; printf() の 1 番目 の 引数 を 設定 
.text:00000024 

; printf() の 2 番目 の 引数 を 設定 
. text: 00000028 

; printf() の 3 番目 の 引数 を 設定 
.text:0000002C 

; printf() の 4 番目 の 引数 を 設定 : 
. text: 00000030 

; printf() の アド レス を 得る : 


. text: 00000034 

. text : 00000038 

; printf() を コー ル す る : 
. text: 0000003C 

. text: 00000040 

. text: 00000044 

; 関数 エピ ロー グ : 

. text: 00000048 

: 戻り 値 に 9 を 設定 する : 
. text: 0000004C 

. text: 00000050 

. text: 00000054 

. text: 00000058 

. text: 0000005C 

‚ リタ ー ン 

. text: 00000060 

. text: 00000064 


-0x10 
-8 
-4 


addiu 
Sw 

Sw 
move 
la 

SW 


la 
move 
li 
li 
li 


lw 
or 


move 
jalr 
or 


lw 


move 
move 
lw 

lw 
addiu 


jr 
or 


$sp, 
$га, 
$fp, 
$fp, 
$gp, 
$gp, 


$v0, 
$a0, 
$al, 
$a2, 
$a3, 


$v0, 
$at, 


$t9, 
$t9 
$at, 


$9D, 


$v0, 
$sp, 
$ra, 
$fp, 
$sp, 


$ra 
$at, 


-0x20 

0x20+var 4($SD) 
Ox20+var_8($sp) 
$sp 

. gnu local gp 
0x20+var 10($sp) 


aADBDCD # "a=%d; 
$v0 

1 

2 

3 


(printf & OxFFFF) ($gp) 
$zero 


$v0 
$zero ; NOP 
0x20+var_10($fp) 
$zero 

$fp 

0x20+var 4($SD) 


0x20+var 8($sp) 
0x20 


$zero ; NOP 


8 つの 引数 


前 の セク ショ ン の 9 つの 引数 を 使用 し て 、 例 を 再度 使用 し て み ま し ょ う : 1.8.1 on page 63 


#include <stdio.h> 


int main() 


{ 


printf("a=%d; b=%d; c=%d; d=%d; е=% 


G 4, 5, 6, 7, 8); 
return 0; 


}; 


d; f=%d; g=%d; һ=%0\п", 1, 2, 3,7 
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最適 化 GCC 4.4.5 


最初 の 4 つの 引数 だ けが $AO .…$A3 レジ スタ に 渡さ れ 、 残 り は スタ ッ ク を 介し て 渡さ れ ま 
す 。 


これ は 0O32 呼 び 出し 規約 (MIPS 世 界 で 最も 一 般 的 な も の ) CH. 他 の 呼び 出し 規則 (N32 の 
よう な ) は 、 異 な る 目的 の た め に レジ スタ を 使用 する か も し れ ま せん 。 


SW [£ [Store Word」( レ ジス タ か ら メ モリ へ ) の 略語 で す 。MIPS に は 値 を メモ リ に 格納 す 
る 命令 が な いた め 、 代 わり に 命令 ペア (LISW) を 使用 する 必要 が あり ます 。 


Listing 1.57: 最適 化 GCC 4.4.5 (アセ ン ブ リ 出力 ) 


$LCO: 
.ascii "a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%d\012\000" 
main: 
; 関数 プロ ロー グ : 
lui $28,%hi( gnu local gp) 
addiu $sp,$sp,-56 
addiu $28,$28,%lo(_ gnu local gp) 
SW $31,52($sp) 
; スタ ッ ク に 5 番目 の 引数 を 渡す : 
li $2,4 # 0x4 
SW $2,16($sp) 
; スタ ッ ク に 6 番目 の 引数 を 渡す : 
li $2,5 # 0x5 
SW $2,20($sp) 
; スタ ッ ク に 7 番目 の 引数 を 渡す : 
li $2,6 # 0x6 
SW $2,24($sp) 
‚ スタ ッ ク に 8 番目 の 引数 を 渡す : 
li $2,7 # 0x7 
lw $25,%call16(printf) ($28) 
SW $2,28($sp) 
; $a0 に 1 番目 の 引数 を 渡す : 
lui $4,%hi($LC0) 
: スタ ッ ク に 9 番目 の 引数 を 渡す : 
li $2,8 # 0х8 
SW $2,32($sp) 


addiu $4,$4,%lo($LCO) 

; $a1 に 2 番目 の 引数 を 渡す : 

li $5,1 

; $a2 に 3 番目 の 引数 を 渡す : 
li $6,2 # 0x2 

printf( ) を コー ル す る : 
jatr $25 

; $a3 に 4 番目 の 引数 を 渡す (分 岐 遅延 スロ ッ ト ): 
li $7,3 


# 0х1 


# 0x3 


関数 エピ ロー グ : 

lw $31,52($sp) 
: 戻り 値 に 9 を 設定 する : 

move $2,$0 
PE E 
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j $31 
addiu 


$sp,$sp,56 ; branch delay slot 


Listing 1.58: 最適 化 GCC 4.4.5 (IDA) 


.text:00000000 main: 

.text:00000000 

.text:00000000 var 28 = -0x28 

.text:00000000 var 24 = -0x24 

.text:00000000 var 20 - -0x20 

.text:00000000 var 1C = -0x1C 

.text:00000000 var 18 = -0x18 

.text:00000000 var 10 - -0x10 

.text:00000000 var 4 = -4 

.text:00000000 

; 関数 プロ ロー グ : 

.text:00000000 lui 

.text:00000004 addiu 

.text:00000008 la 

.text:0000000C Sw 

.text:00000010 SW 

; スタ ッ ク に 5 番目 の 引数 を 渡す : 

.text:00000014 li 

.text:00000018 Sw 

‚ スタ ッ ク に 6 番目 の 引数 を 渡す : 

.text:0000001C li 

.text:00000020 Sw 

‚ スタ ッ ク に 7 番目 の 引数 を 渡す : 

.text:00000024 li 

.text:00000028 Sw 

‚ スタ ッ ク に 8 番目 の 引数 を 渡す : 

.text:0000002C li 

.text:00000030 lw 

. text : 00000034 SW 

; $a0 に 1 番目 の 引数 を 準備 する : 

.text:00000038 lui 
c=%d; d=%d; e=%d; f=%d; g=%"... 

: スタ ッ ク に 9 番目 の 引数 を 渡す : 

.text:0000003C li 

.text:00000040 Sw 

; $a0 に 1 番目 の 引数 を 渡す : 

.text:00000044 la 
c=%d; d=%d; e=%d; f=%d; g=%".. 

; $a1 に 2 番目 の 引数 を 渡す : 

.text:00000048 li 

; $a2 に 3 番目 の 引数 を 渡す : 

. text: 0000004C li 

; printf() を コー ル す る : 

.text:00000050 jatr 

; $a3 に 4 番目 

.text:00000054 li 

; 関数 エピ ロー グ : 

.text:00000058 lw 


; 戻り 値 に 9 を 設定 する : 


( gnu local gp >> 16) 

- 0x38 

( gnu local gp & OxFFFF) 
0x38+var 4($SD) 

0x38+var 10($sp) 


$gp, 
$sp, 
$gp, 
$ra, 
$gp, 


$v0, 4 
$v0, Ox38+var 28($sp) 
$v0, 5 
$v0, Ox38+var 24($sp) 


$v0, 6 
$v0, Ox38+var 20($sp) 


$v0, 7 
$t9, (printf & OxFFFF) ($gp) 
$v0, Ox38+var_1C($sp) 


$a0, ($LCO >> 16) # "a=%d; 


$v0, 8 
$v0, Ox38+var 18($sp) 


$a0, ($LCO & OxFFFF) # “a=%d; 


$al, 1 
$a2, 2 


$t9 


の 引数 を 渡す pass 4th argument in $a3 (ЭШЕ ЕАПУ F): 


$a3, 3 


$га, Ox38+var 4($sp) 


b=%d; 
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.text:0000005C move $v0O, $zero 

MO УЧУУ 

.text:00000060 jr $ra 

.text:00000064 addiu $sp, 0x38 ; branch delay slot 


非 最 適 化 GCC 4.4.5 


非 最適 化 GCCC は も っ と 冗長 で す 。 
Listing 1.59: 非 最適 化 GCC 4.4.5 (アセ ン ブ リ 出力 ) 


$LCO: 

.ascii "a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%d\012\000" 
main: 
; 関数 プロ ロー グ : 

addiu $sp,$sp,-56 


SW $31,52($sp) 

SW $fp,48($sp) 

move $fp,$sp 

lui $28,%hi( gnu local gp) 
addiu  $28,$28,%to( gnu local gp) 
lui $2,%hi($LC0) 


addiu $2,$2,%lo($LC0) 


; スタ ッ ク に 5 番目 の 引数 を 渡す : 
li $3,4 # 0x4 
SW $3,16($sp) 
‚ スタ ッ ク に 6 番目 の 引数 を 渡す : 
li $3,5 # 0x5 
Sw $3,20($sp) 
; スタ ッ ク に 7 番目 の 引数 を 渡す : 
li $3,6 # 0х6 
SW $3,24($sp) 
; スタ ッ ク に 8 番目 の 引数 を 渡す : 
li $3,7 # 0x7 
SW $3,28($sp) 
; スタ ッ ク に 9 番目 の 引数 を 渡す : 
li $3,8 # 0х8 
Sw $3,32($sp) 
; $a0 に 1 番目 の 引数 を 渡す : 
move $4,$2 
; $a1 に 2 番目 の 引数 を 渡す : 
li $5,1 # 0x1 
; $a2 に 3 番目 の 引数 を 渡す 
li $6,2 # 0х2 
‚ $a3 に 4 番目 の 引数 を 渡す : 
li $7,3 # 0x3 
; printf() を コー ル す る : 
tw $2,%call16(printf) ($28) 
nop 
move $25,$2 
jalr $25 


nop 
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; 関数 エピ ロー グ : 

lw $28,40($fp) 
; 戻り 値 に 9 を 設定 する : 

move $2,$0 

move $sp,$fp 

lw $31,52($sp) 

lw $fp,48($sp) 

addiu $sp,$sp,56 
> リタ ー ジ シ 

j $31 

nop 


Listing 1.60: 


非 最適 化 GCC 4.4.5 (IDA) 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
.text:00000000 
.text:00000000 
; 関数 プロ ロー グ : 
. text: 00000000 
. text: 00000004 
. text: 00000008 
. text: 0000000C 
. text: 00000010 
. text: 00000018 
. text: 0000001C 


main: 


var 28 
var 24 
var 20 
var 1C 
var 18 
var 10 
var 8 
var 4 


数 を 渡す : 


.text: 
: スタ ッ ク に 7 番 
. text: 00000034 
. text : 00000038 
: スタ ッ ク に 8 番 
.text:0000003C 
.text:00000040 
: スタ ッ ク に 9 番 
.text:00000044 
.text:00000048 

; $a0 に 1 番目 の 引数 を 渡す : 
.text:0000004C 

; $a1 に 2 番目 の 引数 を : 
.text:00000050 

; $a2 に 3 番目 の 引数 を : 


の 引数 を 渡す : 


の 引数 を 渡す : 


の 引数 を 渡す : 


Xt 


d: 


xat 


d: 


move 


-0x38 

0x38+var 4($SD) 
0x38+var 8($sp) 

$sp 

. gnu local gp 
0x38+var 10($sp) 
aADBDCDDDEDFDGD # "a 


$sp, 
$ra, 
$fp, 
$fp, 
$gp, 
$gp, 
$v0, 


$v1, 
$v1, 


4 
0x38+var 28($sp) 


$v1, 5 

$v1, Ox38+var 24($sp) 
$v1, 
$v1, 


6 
0x38+var 20($sp) 


$v1, 7 
$v1, Ox38+var 1C($sp) 
8 
0x38+var 18($sp) 


$v1, 
$v1, 
фаб, $VO 


$a1, 1 


=% 


d; 
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.text:00000054 li $a2, 2 

; $a3 に 4 番目 の 引数 を 渡す : 

.text:00000058 li $a3, 3 

; printf() を コー ル す る : 

. text: 0000005C lw $v0, (printf & OxFFFF) ($9p) 
. text: 00000060 or gat, $zero 

. text: 00000064 move $t9, $v0 
.text:00000068 jatr $t9 

.text:0000006C or $at, $zero ; NOP 

; 関数 エピ ロー グ : 

. text : 00000070 lw $gp, Ox38+var 10($fp) 
; 戻り 値 に 9 を 設定 する : 

.text:00000074 move $v0, $zero 
.text:00000078 move $sp, $fp 
.text:0000007C lw $ra, 0x38+var_4($sp 
.text:00000080 lw $fp, Ox38+var 8($sp) 
.text:00000084 addiu $sp, 0x38 

1 Yay 

. text: 00000088 jr $га 

.text:0000008C or $at, $zero ; NOP 
第 1.8.4 節 結論 


関数 呼び 出し の 概略 を 以下 に 示し ます 。 
Listing 1.61: x86 


PUSH 3rd argument 

PUSH 2nd argument 

PUSH 1st argument 

CALL function 

; スタ ッ ク ポ イン タ を 修正 する (必要 な ら ) 


Listing 1.62: x64 (MSVC) 


MOV RCX, 15% argument 
MOV RDX, 2nd argument 
MOV R8, 3rd argument 
MOV R9, 4th argument 


PUSH 5th, 6th argument, etc. (if needed) 
CALL function 
; スタ ッ ク ポ イン タ を 修正 する (必要 な ら ) 


Listing 1.63: x64 (GCC) 


MOV RDI, 15% argument 
MOV RST, 2nd argument 
MOV RDX, 3rd argument 
MOV RCX, 4th argument 
MOV R8, 5th argument 
MOV R9, 6th argument 
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PUSH 7th, 8th argument, etc. (if needed) 
CALL function 
; スタ ッ ク ポ イン タ を 修正 する (必要 な ら ) 


Listing 1.64: ARM 


MOV RO, lst argument 

MOV R1, 2nd argument 

MOV R2, 3га argument 

MOV R3, 4th argument 

; 5 番目 、6 番 目 の 引数 な ど を スタ ッ ク に 渡す (必要 な ら ) 
BL function 

; スタ ッ ク ポ イン タ を 修正 する (必要 な ら ) 


Listing 1.65: ARM64 


MOV ХӨ, lst argument 

MOV X1, 2nd argument 

MOV X2, 3rd argument 

MOV X3, 4th argument 

MOV X4, 5th argument 

MOV X5, 6th argument 

MOV X6, 7th argument 

MOV X7, 8th argument 

; 9 番目 、16 番 目 の 引 数 な ど を スタ ッ ク に 渡す (必要 な ら ) 
BL function 

; スタ ッ ク ポ イン タタ を 修正 する (必要 な ら ) 


Listing 1.66: MIPS (O32 calling convention) 


LI $4, 1st argument ; AKA $A0 
LI $5, 2nd argument ; AKA $A1 
LI $6, 3rd argument ; AKA $A2 
LI $7, 4th argument ; AKA $A3 
; 5 番目 、6 番 目 の 引数 な ど を スタ ッ ク に 渡す (必要 な ら ) 


LW temp reg, address of function 
JALR temp reg 


第 1.8.5 節 と ころ で 


と ころ で 、x86、x64、fastcall、ARM、 お よび MIPS で 渡さ れる 引数 の 違い は 、CPU が 引数 
を 関数 に どの よう に 引き 渡す か を 知ら な いと いう 事実 の 良い 例 で す 。 ス タッ ク を まっ た く 
使用 せ ず に 引数 を 特殊 な 構造 体 に 渡す こと が で きる 仮想 コン パイ ラ を 作成 する こと も で き 
ます 。 


MIPS $AO .…$A3 レジ スタ は 、 便宜 上 (O32 呼 び 出 し 規約 に ある ) この よう に ラベ ル 付 け 
され て いま す 。 プ ログ ラマ は 、 デ ー タ を 渡す た め に 、 あ る い は 他 の 呼び 出し 規約 を 使用 す 
る た め に 、 他 の レジ スタ (お そら く $ZERO を 除く ) を 使用 する こと が で きま す 。 


CPU は 呼び 出し 規約 を 認識 し て いま せん 。 
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他 の 関数 に 引数 を 渡す 新しい アセ ン ブ リ 言語 プロ グラ マ が 、 通 常 は レジ スタ 経由 で 、 明 示 
的 な 順序 お な し に 、 あ る い は グロ ー バ ル 変 数 を 介し て 、 ど の よう に 新しい 関数 を 呼び 出す か 
を 思い 出す か も し れ ま せん 。 も ちろ ん 、 そ れ は 正常 に 動作 し ます 。 


第 1.9 節 scanff() 


Tik, scanf ( ) を 使っ て み ま し ょ う 。 


第 1.9.1 節 Simple example 


#include <stdio.h> 

int main() 

{ 
int x; 
printf ("Enter X:Nn"); 
scanf ("%d", &x); 


printf ("You entered %d...Nn", x); 


return 0; 


}; 


最近 、 ユ ー ザ ー と の や り 取 り に scanf( ) を 使用 する の は 覧 明 で は あり ませ ん 。 LAL, int 
型 の 変数 に ポイ ンタ を 渡す 例 で 説明 する こと が で きま す 。 


ポイ ンタ に つい て 


ポイ ンタ は コン ピュ ー タ サイ エン ス の 基本 概念 の 1 つ で す 。 多 く の 場 合 、 大 規模 な 配列 、 構 
造 体 また は オブ ジェ クト を 引数 と し て 別 の 関数 に 渡す こと は コス ト が か か りす ぎ 、 ア ドレ 
ス を 渡す こと は ずっ と 安い で す 。 た と えば 、 コ ン ソ ー ル に テキ スト 文字 列 を 印刷 する 場合 、 
その アド レス を OS カー ネル に 渡す 方 が は る か に 簡単 で す 。 


さら に 、callee 関 数 が 大 き な 配 列 ま た は 構造 体 の 中 の 何 か を パラ メー タ と し て 受け 取っ て 
構造 体 全体 を 返す 必要 が ある 場合 、 状 況 は 不条理 に 近い で す 。 し た が っ て 、 配 列 や 構造 体 
の アド レス を 呼び 出し 先 関数 に 渡し 、 変 更 する 必要 の ある も の を 変更 させ る の が 最も 簡単 
で す 。 


C/C++ の ポイ ンタ は 、 単 純 に ある メモ リ 位 置 の アド レス で す 。 


x86 で は 、 ア ドレ ス は 32 ビ ッ ト 数 (すなわち 、4 バ イト を 占め る ) で 表 さ れ 、x86-64 で 
は 64 ビ ッ ト 数 (8 バイ ト を 占め る ) で す 。 と ころ で 、 そ れ が x86-64 へ の 切り 替え に 関連 す 
る 慎 慌 の 裏 に ある 理由 は 、x64 ア ー キ テク チャ の ポイ ンタ は 、「 高 価 な 」 メ モリ で ある キャ 
ッシュ メモ リ を 含め て 、2 倍 の スペ ー ス を 必要 と し ます 。 


何ら か の 努力 が あれ ば 、 型 の 指定 され て いな い ポ イン タ で の み 作 業 す る こと が で きま 
す 。 例 えば 1 つの メモ リ 位 置か ら 別 の メモ リ 位 置 に ブロ ッ ク を コピ ー す る 標準 の C 関 数 
memcpy ( ) は 、 コ ピー する デー タ の 型 を 予測 する こと が 不可 能 な た め 、void* 型 の 2 つの ポ 
イン タ を 引数 と し て と り ま す 。 デ ー タ 型 は 重要 で は な く 、 ブ ロッ クサ イズ だ けが 重要 で す 。 


85 
ポイ ンタ は 、 関 数 が 複数 の 値 を 返す 必要 が ある 場合 に も 広く 使用 され ます 。 (これ に つい て 
は 後 で 説明 し ます : (1.12 on page 138)) 


scanf ( ) 関数 が 、 こ の よう な 場合 で す 。 


関数 が 正常 に 読み 取ら れ た 値 の 数 を 示す 必要 が ある と いう 事実 に 加え て 、 こ れ ら の 値 も す 
べ て 返す 必要 が あり ます 。 


C/C++ で は 、 ポ イン タ 型 は コン パイ ル 時 の 型 チ ェ ッ ク に の み 必 要 で す 。 


内 部 的 に は 、 コ ン パ イル され た コー ド に は 、 ポ イン タ 型 に 関す る 情報 は まっ た く あ り ま せ 
ん 。 


x86 
MSVC 


MSVC 2010 で コン パイ ル し た 後に 得 ら れる も の は 次 の と お り で す 。 


CONST SEGMENT 


$5G3831 DB ‘Enter X:', бан, 00H 

$5G3832 DB '%d', OOH 

$5G3833 DB 'You entered %d...', дан, 00H 
CONST ENDS 

PUBLIC _main 

EXTRN  scanf:PROC 

EXTRN | printf:PROC 


; 関数 の コン パイ ルフ ラグ : /Odtp 
_TEXT SEGMENT 


_x$ = -4 ; size = 4 
_main PROC 

push ebp 

mov ebp, esp 

push ecx 


push OFFSET $SG3831 ; ‘Enter X:' 
call printf 

add esp, 4 

lea eax, DWORD PTR _x$[ebp] 


push eax 

push OFFSET $SG3832 ; '%d' 
call scanf 

add esp, 8 

mov ecx, DWORD PTR x$[ebp] 
push ecx 


push OFFSET $SG3833 ; ‘You entered %d...' 
call printf 


add esp, 8 

; 0 を リタ ー ン 
xor eax, eax 
mov esp, ebp 
pop ebp 

ret 0 


_main ENDP 
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| TEXT ENDS 


x は ロー カル 変数 で す 。 

C/C++ 標準 に よれ ば 、 こ の 関数 で の み 表 示 で き 、 他 の 外部 スコ ー プ で は 表示 で きま せん 。 
従来 、 ロ ー カ ル 変 数 は スタ ッ ク に 格納 され て いま し た 。 そ れ ら を 割り 当て る 方 法 は お そら 
く 他 に も あり ます が 、 そ れ は x86 の 方 法 で す 。 

関数 プロ ロー グ 、PUSH ECX に 続く 命令 の 目的 は 、ECX 状態 を 保存 する こと で は あり ませ 
ん (関数 の 最後 に 対応 する POP ECX が 存在 し な いこ と に 注意 し て くだ さい )。 

実際 、x 変数 を 格納 する た め に スタ ッ ク に 4 バイ ト を 割り 当て ます 。 


x は 、 x$ マク ロ (-4 に 等 し い ) と 現在 の フレ ー ム を 指す EBP レジ スタ の 助け を 借り て ア 
クセ ス さ れ ま す 。 


関数 の 実行 の 範囲 に わた っ て 、EBP は 現在 の stack frame を 指し て お り 、EBP+ オ フ セ ッ ト 
を 介し て ロー カル 変数 と 関数 引数 に アク セス する こと が で きま す 。 


同じ 目的 で ESP を 使用 する こと も で きま す が 、ESP は 頻繁 に 変更 され る た め あ まり 便利 で 
は あり ませ ん 。EBP の 値 は 、 関 数 の 実行 開始 時 に ESP の 値 が 固定 され た 状態 と し て 認識 さ 
れる 可能 性 が あり ます 。 


32 ビ ッ ト 環 境 で の 典型 的 な stack frame レ イア ウト を 次 に 示し ます 。 


EBP-8 local variable #2, IDA に マー ク す る var 8 
EBP-4 local variable #1, IDA に マー ク す る var 4 
EBP saved value of EBP 

EBP+4 return address 

EBP+8 引数 #1, IDA に マー ク す る arg 0 


EBP+0xC | 引数 #2, IDA に マー ク す る arg 4 
EBP+0x10 | 引数 #3, IDA に マー ク す る arg 8 


この 例 の scanf( ) 関数 に は 2 つの 引数 が あり ます 。 
最初 の も の は sd を 含む 文字 列 へ の ポイ ンタ で 、2 番 目 の も の は x 変数 の アド レス で す 。 


最初 に 、x 変数 の アド レス が lea eax, DWORD РТА x$[ebp] 命令 に よっ て EAX レジ 
スタ に ロー ド さ れ ま す 。 


LEA は ロー ド 実 効 ア ドレ ス の 略 で 、 ア ドレ ス を 形成 する た め に よく 使用 され ます ((?? on 
page ??))。 


この 場合 、LEA は 単に EBP レジ スタ 値 と x$ マク ロ の 合計 を EAX レジ スタ に 格納 する と 
言う こと が で きま す 。 


これ は lea eax, [ebp-4] と 同じ で す 。 
し た が っ て 、EBP レジ スタ 値 か ら 4 が 減算 され 、 そ の 結果 が EAX レジ スタ に ロー ド さ れ ま 
す 。 次 に 、EAX レジ スタ の 値 が スタ ッ ク に プッ シュ され 、 scanf ( ) が 呼び 出さ れ ま す 。 


printf() は 最初 の 引数 で 呼び 出さ れ て いま す 。 文字 列 へ の ポイ ンタ : You entered 
%d...Nn 
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2 番目 の 引数 は mov ecx, [ebp-4] で 準備 され て いま す 。 命令 は 、ECX レジ スタ に その 
アド レス で は な く x 変 数 値 を 格納 し ます 。 


次 に 、ECX の 値 が スタ ッ ク に 格納 され 、 最 後 の printf() が 呼び 出さ れ ま す 。 
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MSVC + OllyDbg 


OllyDbg で この 例 を 試し て み ま し ょ う 。 私 た ち が ntdll.dll の 代わ り に 実行 可能 ファ イ 
ル に 達する まで 、 そ れ を ロー ド し て F8 (ステ ッ プ オー バー) を 押し 続け まし ょ う 。 main( ) 
が 表示 され る まで 上 に スク ロー ル し ます 。 

最初 の 命令 (PUSH EBP) を クリ ッ ク し 、F2 (ブレ ー ク ポイ ント を 設定 ) 、 次 に F9 (実行 ) 
を 押し ます 。nmain( ) が 始ま る と ブレ ー ク ポイ ント が トリ ガ さ れ ま す 。 


変数 > の アド レス が 計算 され る ポイ ント まで トレ ー ス し まし ょ う 
回 cmu-manthreadmoduleext =] ES 


BBEC укташ 


100. 6E445617 


ASCII "H(I” 


ES 
EDI ggE 
EIP 00E91015 


B(FFFFFFFF) 
(FFFFFFFF 
g(FFFFFFFF 
?EFDDggg(FFF ) 
g(FFFFFFFF 


чог ртс 


oo 


UCCESS 
,PE,GE,G) 


ВА 1.13: OllyDbg: ロー カル 変数 の アド レス が 計算 され ます 。 


レジ スタ ウィ ンド ウ で EAX を 右 ク リッ ク し て 、「Follow in stack] を 選択 し ます 。 


この アド レス は スタ ッ ク ウ ィ ン ド ウ に 表示 され ます 。 赤い 矢印 が 追加 され 、 ロ ー カ ルス タ 
ッ ク の 変数 を 指し て いま す 。 そ の 瞬間 、 こ の 場所 に は いく ら か の ゴミ (0х6Е494714) が 含 
まれ て いま す 。 今度 は PUSH 命令 の 助け を 借り て 、 こ の スタ ッ ク 要 素 の アド レス が 次 の 位 
置 の 同じ スタ ッ ク に 格納 され ます 。scanf( ) の 実行 が 完了 する まで 、F8 を 使っ て トレ ー ス 
し て み ま し ょ う 。 scanf( ) の 実行 中 に 、 コ ン ソ ー ル ウィ ンド ウ に 123 な ど を 入力 し ます 。 


Enter X: 
123 
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scanf() は すでに 実行 を 完了 し まし た 


CPU - main thread, module ex1 


m 


PUSH EBP 

Hou ЕВР. ESP 

PUSH E 

FUSH OFFSET SGE93000 

CALL DWORD PTR 05: (<&MSUCR1GG. printf >] 
ADD ESP,4 

LEA EAX, CLOCAL. 1] 

PUSH EAX 

PUSH OFFSET BE93 ロ PC 

кн DWORD PTR DS:[<&MSUCR100. scanf>] 


ESP, 8 
MOV ECX, DWORD PTR SS:CLOCAL. 1] 
PUSH ECX 


6E445AAG 6E445AAG 
6E494500 —badioinfo 


SCII arr 


OL FFFFFFFF) 
@( FFFFFFFF) 
t @(FFFFFFFF) 
t B(FFFFFFFF) 
; TEFDDaaatFFF) 
t G(FFFFFFFF) 


HSUCRION. -somf returned EAX 
ESP=0031FDRC, PTR to ASCII "xd" 


сосо-ш-ошог ито m mmmmmmmm| 


LastErr 00000000 ERR 
EFL 00000202 (NO,NB,NE,A,NS 


1.14: OllyDbg: scanf() が 実行 され た 


scanf( ) は EAX で 1 を 返し ます 。 こ れ は 、1 つ の 値 を 正常 に 読み 取っ た こと を 意味 し ます 。 
ロー カル 変数 に 対応 する スタ ッ ク 要 素 を も う 一 度 見 る と 、0x7B (123) が 含ま れ て いま す 。 
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その 後 、 こ の 値 は スタ ッ ク か ら ECX レジ スタ に コピ ー さ れ 、printf ( ) に 渡さ れ ま す : 


CPU - main thread, module exi 


55 PUSH ЕВР 
Ee MOU EBP,ESP 


68 

FF1S 
83C4 84 
8045 FC 


5a 
68 
83C4 @8 
8B4D FC 


PUSH ECX 

PUSH OFFSET 00E93000 

CALL DWORD PTR DS:[<&MSUCR100.printf>] 
RDD ESP,4 

LEA EAX, CLOCAL. 11 

PUSH EAX 

PUSH OFFSET 00E9300C 


acsoE2oQ 
FF15 H42gE3 CALL DWORD PTR DS:[<&MSUCR100. scanf >I 


RDD E 


SP, 8 
MOU ECX, DWORD PTR SS:CLOCAL. 1] 
51 PUSH ECX 
68 10306999 | PUSH OFFSET ggE93919 

FF15 SC2gE3g CALL DWORD PTR DS:[ く <&ISUCR1gg.pr intf>] 


' BBES 


ggggggg1 
BB 


E 


07B 


1027 


s ай 


@( FFFFFFFF 
@( FFEFFFFF) 
g(FFFFFFFF ) 
7EFDDBaatFFF) 


e S Q S S naw 
© с c mm 


図 1.15: 


GCC 


g(FFFFFFFF} 


ロコ の rm マロ mmmmmmmmmlz 
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> Co б) С бә CO «D T1 G S) 


Oo. 


に に 1 


OllyDbg: printf() に 渡す 値 を 準備 する 


Linux 上 の GCC 4.4.1 で この コー ド を コン パイ ル し よう と し まし ょ う 。 


main proc near 

var_20 = dword ptr -20h 

var_1C = dword ptr -1Ch 

Var 4 = dword ptr -4 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 20h 
mov [esp+20h+var 20], offset aEnterX ; "Enter X:" 
call | puts 
mov eax, offset aD ; "%d" 
lea edx, [esp+20h+var 4] 
mov [esp+20h+var 1C], edx 
mov [esp+20h+var 20], eax 
call _ isoc99 scanf 
mov edx, [esp+20h+var 4] 
mov eax, offset aYouEnteredD ; "You entered %d...\n" 
mov [esp+20h+var 1C], edx 
mov [esp+20h+var 20], eax 
call _printf 
mov eax, 0 


leave 
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retn 


main endp 


GCC は printf() 呼び 出し を puts() の 呼び 出し で 置き 換え まし た 。 こ の 理由 は 、(1.5.3 
on page 27) で 説明 され まし た 。 


MSVC の 例 の よう に 、 引 数 は MOV 命令 を 使用 し て スタ ッ ク に 配置 され ます 。 
ろ で 


と ころ で 、 こ の 単純 な 例 は 、 コ ン パ イラ が C/C++ ブロ ッ ク の 式 の リス ト を 命令 の 連続 し 
た リス ト に 変換 する と いう 事実 の デモ ンス トレ ーション で す 。C/C++ の 式 の 間 に は 何 も 
な い の で 、 結 果 の マシ ンコ ー ド に は 、 あ る 式 か ら 次 の 式 へ の 制御 フロ ー の 間 に は 何 も あ り 
ませ ん 。 


x64 


ここ の 画像 は 、 ス タッ ク で は な く レ ジス タ が 引数 の 受け 渡し に 使用 され る と いう 違い と 似 
て いま す 。 


MSVC 
Listing 1.67: MSVC 2012 x64 
_DATA SEGMENT 
$SG1289 DB ‘Enter X:', бан, 00H 
$5G1291 DB '%d', 00Н 
$SG1292 DB 'You entered %d...', бан, 00H 
_DATA ENDS 
_TEXT SEGMENT 
x$ = 32 
main PROC 
$LN3: 
sub rsp, 56 
lea rcx, OFFSET FLAT:$SG1289 ; ‘Enter X:' 
call printf 
lea rdx, QWORD PTR x$[rsp] 
lea rcx, OFFSET FLAT:$SG1291 ; '%d' 
call scanf 
mov edx, DWORD PTR x$[rsp] 
lea rcx, OFFSET FLAT:$SG1292 ; 'You entered %d...' 
call printf 
; return 0 
xor eax, eax 
add rsp, 56 
ret 0 
main ENDP 
_ TEXT ENDS 
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GCC 
Listing 1.68: 最適 化 GCC 4.4.6 x64 
.LC0: 
.string "Enter X:" 
.LC1: 
.string "sd" 
.LC2: 
.string "You entered %d...\n" 
main: 
sub rsp, 24 
mov edi, OFFSET FLAT:.LCO ; "Enter X:" 
call puts 
lea rsi, [rsp+12] 
mov edi, OFFSET FLAT:.LC1 ; "%d" 
xor eax, eax 
call . isoc99 scanf 
mov esi, DWORD PTR [rsp+12] 
mov edi, OFFSET FLAT:.LC2 ; "You entered %d...Nn" 
xor eax, eax 
call printf 
; return 0 
xor eax, eax 
add rsp, 24 
ret 
ARM 


最適 化 Keil 6/2013 (Thumb モ ー ド ) 


. text: 00000042 scanf_main 

. text : 00000042 

. text: 00000042 var 8 = -8 

. text: 00000042 

. text: 00000042 08 B5 PUSH {R3,LR} 

. text: 00000044 A9 АО ADR RO, aEnterX ; "Enter X:\n" 

.text:00000046 06 FO рз F8 BL _ 2printf 

.text:0000004A 69 46 MOV R1, SP 

.text:0000004C AA AO ADR RO, aD ; "%d" 

.text:0000004E 06 FO CD F8 BL _ Oscanf 

.text:00000052 00 99 LDR R1, [SP,#8+var 8] 

.text:00000054 A9 АО ADR RO, aYouEnteredD . ; "You entered 
ва... Nn" 

.text:00000056 06 FO CB F8 BL . 2printf 

.text:0000005A 00 20 MOVS RO, 40 

.text:0000005C 08 BD POP {R3,PC} 


scanf() が item を 読み 込む た め に は 、 た へ の parameter.pointer が 必要 で す 。 int は 32 ビ 
ッ ト な の で 、 メ モリ の どこ か に 格納 する に は 4 バイ ト が 必要 で 、32 ビ ッ ト の レジ スタ に 正 


о OO +I O I S QQ N P 


93 
確 に 収まり ます 。 ロ ー カ ル 変 数 x の 場所 が スタ ッ ク に 割り 当て られ 、IDA の 名 前 は var 8 
で す 。 た だ し 、SP! (スタ ッ ク ポ イン タ ) が すでに その 領域 を 指し て いる た め 、 そ の 領域 
を 直接 割り 当て る こと は で きま せん 。 


PUSH/POP 命令 は 、ARM と x86 と で は 動作 が 異な り ま す (これ は 逆 で す ) 。 これら は 
STM/STMDB/LDM/LDMTA 命令 の 同義 語 で す 。 TLT, PUSH 命令 は 最初 に 値 を スタ ッ ク 
に 書き 込み 、 次 に SP! を 4 で 減算 し ます 。POP は 最初 に SP! に 4 を 加算 し て か ら 、 ス タッ ク 
か ら 値 を 読み 取り ます 。 し た が っ て 、PUSH 後 、SP! は スタ ッ ク 内 の 未 使用 スペ ー ス を 指し 
ます 。 それは scanf( ) に よっ て 、 そ し て 後に printf( ) に よっ て 使用 され ます 。 


LDMIA は Load Multiple Registers Increment address After each transfer DRT. 
STMDB は Store Multiple Registers Decrement address Before each transfer の 略 で す 。 


し た が っ て 、SP! の 値 は R1 レジ スタ に コピ ー さ れ 、 フ ォ ー マ ッ ト 文 字 列 と と も に scanf() 


に 渡さ れ ま す 。 その 後 、LDR 命令 の 助け を 借り て 、 こ の 値 は スタ ッ ク か ら R1 レジ スタ に 
移動 され 、printf( ) に 渡さ れ ま す 。 


ARM64 
Listing 1.69: 非 最適 化 GCC 4.9.1 ARM64 
.LC0: 
.string "Enter X:" 
.LC1: 
.string "%d" 
.LC2: 
.string "You entered %d...Nn" 
scanf main: 
; subtract 32 from SP, then save FP and LR in stack frame: 
stp x29, x30, [sp, -32]! 
; set stack frame (FP=SP ) 
add x29, sp, 0 


; load pointer to the "Enter X:" string: 
adrp x0, .LCO 


add x0, x0, :1012:.LC0 
; XO-pointer to the "Enter X:" string 
; print it: 

bl puts 


load pointer to the "%d" string: 
adrp x0, .LC1 


add x0, x0, :1012:.LC1 
; find a space in stack frame for "x" variable (X1=FP+28): 
add x1, x29, 28 


X1=address of "x" variable 
; pass the address to scanf() and call it: 
bl . isoc99 scanf 
load 32-bit value from the variable in stack frame: 
tdr wl, [x29,28] 
; W1=x 
; load pointer to the "You entered %d...\n" string 
printf() will take text string from ХО and "x" variable from X1 (or W1) 
adrp x0, .LC2 
add x0, x0, :1012:.LC2 
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bl printf 
; return 0 
mov w0, 0 
; restore FP and LR, then add 32 to SP: 
tdp x29, x30, [sp], 32 
ret 


スタ ッ ク フ レー ム に は 32 バ イト が 割り 当て られ て お り 、 必 要 な サイ ズ よ り も 大 きく な っ て 
いま す 。 た ぶん メモ リ の アラ イン メン ト の 問題 で し ょ うか ? 最 も 興味 深い の は スタ ッ ク フ 
レー ム 内 の z 変数 の た め の ス ペー ス を 見 つけ る こと で す (22 行 目 ) 。 な ぜ 28 な の で し ょ 
う ? 何ら か の 理由 で 、 コ ン パ イラ は 、 こ の 変数 を スタ ッ ク フ レー ム の 最後 に 置き ます 。 ア 
ドレ ス は scanf ( ) に 渡さ れ 、scanf( ) は ユー ザ 入 力 値 を その アド レス の メモ リ に 格納 す 
る だ け で す 。 こ れ は int 型 の 32 ビ ッ ト 値 で す 。 値 は 27 行 目 か ら 取得 され 、printf( ) に 渡 
され ます 。 


MIPS 


ロー カル スタ ッ ク 内 の 場所 は z 変数 に 割り 当て られ 、$sp 二 24 と 呼ば れ ま す 。 


その アド レス は scanf( ) に 渡さ れ 、 ユ ー ザ ー 人 入力 値 は TNCLW (「Load Мога) を 使用 し 
て ロー ド さ れ ま す 。 そ し て それ か ら printf( ) に 渡さ れ ま す 。 


Listing 1.70: 最適 化 GCC 4.4.5 (アセ ン ブ リ 出力 ) 


$LCO: 
.ascii "Enter X:\000" 
$LC1: 
.ascii "%dN000" 
$LC2: 
.ascii "You entered %d...N012N000" 
main: 
; 関数 プロ ロー グ : 
lui $28,%hi( gnu local gp) 
addiu $sp,$sp,-40 
addiu  $28,$28,%to( gnu local gp) 
Sw $31,36($sp) 
; puts() を 呼び 出す : 
lw $25,%calll6(puts)($28) 
lui $4,%hi($LC0) 
jalr $25 


addiu $4,$4,%lo($LC0) ; branch delay slot 
; scanf () を 呼び 出す : 


tw $28,16($sp) 
lui $4,%hi($LC1) 
lw $25 ,%catL16( isoc99 scanf) ($28) 


; scanf() の 2 番目 の 引数 に $a1=$sp+24 を 設定 する : 
addiu $5,$sp,24 
jalr $25 
addiu $4,$4,%lo($LC1) ; branch delay slot 


; printf() を 呼び 出す : 
lw $28,16($sp) 
; printf() の 2 番目 の 引数 を 設定 する , 
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; アド レス $sp+24 に word を ロー ド す る : 


lw $5,24($sp) 

lw $25,%call16(printf) ($28) 

lui $4,%hi($LC2) 

jalr $25 

addiu $4,$4,%lo($LC2) ; branch delay slot 
; 関数 エピ ロー グ : 

lw $31,36($sp) 
: 戻り 値 に 9 を 設定 する : 

move $2,$0 
; return: 

j $31 

addiu $sp,$sp,40 ; branch delay slot 


IDA は スタ ッ ク レ イア ウト を 次 の よう に 表示 し ます 。 
Listing 1.71: 最適 化 GCC 4.4.5 (IDA) 


.text:00000000 
.text:00000000 
.text:00000000 
.text:00000000 
.text:00000000 
.text:00000000 


; 関数 プロ ロー グ : 


. text: 00000000 
. text: 00000004 
. text: 00000008 
. text: 0000000C 
. text: 00000010 


; puts() を 呼び 出す : 


.text:00000014 
.text:00000018 
.text:0000001C 
.text:00000020 

delay slot 


; scanf() を 呼び 


.text:00000024 
.text:00000028 
.text:0000002C 


main: 
var 18 = -0x18 
var 10 = -0x10 
var 4 = -4 
lui $gp, (__опи local ор >> 16) 
addiu $sp, -0x28 
la $gp, ( gnu local gp & OxFFFF) 
sw $га, Ox28+var 4($SD) 
Sw $gp, Ox28+var 18($sp) 
tw $t9, (puts & OxFFFF) ($gp) 
lui $a0, ($LCO >> 16) # "Enter X:" 
jalr $t9 
la $a0, ($LCO & OxFFFF) # "Enter X:" ; branch 
HS: 
lw $gp, Ox28+var 18($sp) 
lui фаб, ($LC1 >> 16) # "sd" 
lw $t9, ( isoc99 scanf & OxFFFF ) ( $9D) 


; scanf() の 2 番目 の 引数 に $a1=$sp+24 を 設定 する : 


. text: 00000030 
. text: 00000034 
. text: 00000038 


addiu $al, $sp, 0x28+var 10 


jalr $t9 ; branch delay slot 


; printf() を 呼び 出す : 


. text: 0000003C 


; printf() 0248 


E- 


; アド レス $sp+24 に word を ロー ド す る : 


.text:00000040 
.text:00000044 
.text:00000048 
.text:0000004C 
.text:00000050 


la $a0, ($LC1 & OxFFFF) 

lw $gp, 0x28+var_18($sp) 
の 引数 を 設定 する , 

tw $al, Ox28+var 10($sp) 

lw $t9, (printf & OxFFFF 

lui $a0, ($LC2 > 16) # 

jalr $t9 


la $a0, ($LC2 & OxFFFF ) 


# "od " 


) ($gp) 
"You entered %d...Nn" 


# "You entered %d...Nn" 
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A branch delay slot 


; 関数 エピ ロー グ : 

. text: 00000054 lw $ra, Ox28+var 4($SD) 

; 戻り 値 に 9 を 設定 する : 

.text:00000058 move $v0, $zero 

; return: 

.text:0000005C jr $ra 

.text:00000060 addiu $sp, 0x28 ; branch delay slot 


第 1.9.2 節 一 般 的 な 間違い 


x へ の ポイ ンタ で は な く 、x の 値 を 渡す の は 極め て 一 般 的 な 間違い (お よび / ま た は タイ プ 
ミス ) で す 。 


#include <stdio.h> 
int main() 
{ 
int x; 
printf ("Enter X:\n"); 
scanf ("%d", x); // BUG 
printf ("You entered %d...Nn", x); 


return 0; 
}; 


で は 、 何 が 起こ る で し ょ うか ?x は 初期 化 さ れ て お ら ず 、 ロ ー カ ルス タッ ク か ら の ラン ダ 
ム ノ イズ を 含ん で いま す 。 scanf ( ) が 呼び 出さ れる と 、 ユ ー ザ ー か ら 文 字 列 を 受け 取り 、 
数 値 に 解析 し 、x に 書き 込ん で メモ リ 内 の アド レス と し て 扱い ます 。 し か し ラン ダム な ノ 
イズ が ある の で 、scanf( ) は ラン ダム な アド レス に 書き 込 も うと し ます 。 お そら く 、 プ ロ 
セス が クラ ッシュ する で し ょ う 。 


興味 深い こと に 、 デ バッ グ ビ ル ド の いく つか の CRT ライ ブラ リ は 、 視 覚 的 に 特徴 的 な パタ 
ー ン を 0xCCCCCCCC や OxOBADFOOD の よう に 割り 当て られ た メモ リ に 入れ て いま す 。 
この 場合 、x は 0xCCCCCCCC を 含む こと が で き 、scanf( ) は アド レス 0xCCCCCCCC に 書 
き 込み を 試み ます 。 ま た 、 プ ロ セ ス 内 の 何 か が アド レス 0xCCCCCCCC に 書き 込 も うと する 
と 、 初 期 化 され て いな い 変 数 (また は ポイ ンタ ) が 事前 初期 化 な し で 使用 され る こと が わ 
か り ま す 。 こ れ は 、 新 し く 割 り 当 て られ た メモ リ が ちょ うど クリ ア さ れ た 場合 より も 優れ 
て いま す 。 


第 1.9.3 節 グロ ー バ ル 変 数 
前 の 例 の x 変数 が ロー カル で は な く 、 グ ロー バル 変数 で あれ ば どう で し ょ うか ? そ れ か ら 、 


関数 本 体 か ら だ け で な く 、 ど の 時 点 か ら で も アク セス で きる よう に な り ま し た 。 グ ロー バ 
ル 変 数 は anti-pattern と 見 な され ます が 、 実 験 の た め に 行っ て み ま し ょ う 。 


#include <stdio.h> 


// now x is global variable 
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int x; 

int main() 

{ 
printf ("Enter X:Nn"); 
scanf ("%d", &x); 


printf ("You entered %d...Nn", x); 


return 0; 


}; 


MSVC: х86 


_DATA SEGMENT 

COMM _X: DWORD 

$SG2456 DB ‘Enter X:', бан, 00H 
$SG2457 DB '%d', OOH 

$SG2458 DB 'You entered %d...', QaH, OOH 
_DATA ENDS 

PUBLIC _main 

EXTRN  scanf:PROC 

EXTRN | printf:PROC 

; Function compile flags: /Odtp 

TEXT SEGMENT 


main PROC 
push ebp 
mov ebp, esp 


push OFFSET $5G2456 
call printf 

add esp, 4 

push OFFSET x 

push OFFSET $5G2457 


call scanf 

add esp, 8 

mov eax, DWORD PTR x 
push eax 


push OFFSET $SG2458 
call printf 


add esp, 8 
xor eax, eax 
pop ebp 
ret 0 

main ENDP 

_ TEXT ENDS 


この 場合 、x 変数 は РАТА セグ メン ト に 定義 され 、 ロ ー カ ルス タッ ク に は メモ リ は 割り 
当て られ ませ ん 。 ス タッ ク か ら で は な く 、 直 接 ア クセ ス さ れ ま す 。 初期 化 され て いな い グ 
ロー バル 変数 は 、 実 行 可 能 フ ァイル に スペ ー ス を 入れ ませ ん (な ぜ 、 最 初 に 変数 を ゼロ に 
設定 する 必要 が ある の で し ょ うか ?②) 。 し か し 、 誰 か が 自分 の アド レス に アク セス する と 、 
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OS は 0 で 初期 化 さ れ た ブロ ッ ク パ を 割り 当て ます 。 
変数 に 明示 的 に 値 を 割り 当て まし ょ う : 


int x=10: // default value 


以下 を 得 ま す 。 
DATA | SEGMENT 
(X DD дан 


ここ で は 、 こ の 変数 の DWORD タイ プ の 値 OxA (DD は DWORD = 32 ビ ッ ト を 表し ます ) 
が 表示 され ます 。 


IDA に コン パイ ル さ れ た .exe を 開く と 、 DATA セグ メン ト の 先頭 に x 変数 が 配置 され て い 
て 、 そ の 後に テキ スト 文字 列 が 表示 され ます 。 


x の 値 が 設定 され て いな い 前 の 例 の コン パイ ル 済 み .exe を IDA で 開く と 、 次 の よう に 表示 
され ます 。 


Listing 1.72: IDA 


.data:0040FA80 x dd ? ; DATA XREF: main+10 
. data: 0040FA80 ; main-22 

.data:0040FA84 dword 40FA84 dd ? ; DATA XREF: memset+1E 
.data:0040FA84 ; unknown libname 1-28 
.data:0040FA88 dword 40FA88 dd ? ; DATA XREF: sbh find btock+5 
.data:0040FA88 A sbh_free block+2BC 
.data:0040FA8C ; LPVOID LpMem 


.data:0040FA8C lpMem dd ? ; DATA XREF: sbh find block+B 
.data:0040FA8C ; sbh free block+2CA 
.data:0040FA90 dword 40FA90 dd ? ; DATA XREF: V6 HeapALLoc+13 
.data:0040FA90 ; calloc impl+72 

.data:0040FA94 dword 40FA94 dd ? ; DATA XREF: sbh free block+2FE 


_x に ? が マー ク さ れ て いる と 、 残 り の 変数 は 初期 化す る 必要 は あり ませ ん 。 こ れ は 、 メ モ 

リ に .exe を ロー ド し た 後 、 こ れ ら すべ て の 変数 の た め の 領 域 が 割り 当て られ 、0 で 満た され 
る [ISO/IEC 9899:TC3 (C C99 standard), (2007)6.7.8p10] こと を 意味 し ます 。 し か し 、 
.exe フ ァイル で は 、 こ れ ら の 初期 化 さ れ て いな い 変 数 は 何 も 占 有 し ませ ん 。 こ れ は 、 例 え 
ば 、 大 き な 配 列 の 場合 に 便利 で す 。 


70 こ れ が VM7+ の 動作 で す 


99 


MSVC: x86 + OllyDbg 
ここ で は さら に 単純 で す 。 


CPU - main thread, module ex2 


Registers (FPU) 


в wee, 
&MSUCR1B0. printf >I С 9434809 MSUER TOO. 6E 
EB 


C PTR to RSCII 
54 


08. scanf >] 


@(FFFFFFFF) 
@(FFFFFFFF) 
g(FFFFFFFF} 
g(FFFFFFFF ) 
7EFDDGGG( FFF) 
g(FFFFFFFF 


SUCR199.soanf returned EAX = 1 
mm 
ESP=6044F74C, PTR to ASCII "xd" 


)O-Onm D DO 
ооо 


Mi from eu2.! 


7EFDEGGG) pa" 


1.16: OllyDbg: after scanf() execution 


変数 は デー タ セ グ メ ント に あり ます 。PUSH 命令 (z の アド レス を 押す ) が 実行 され る と 、 
アド レス が スタ ッ ク ウ ィ ン ド ウ に 表示 され ます 。 そ の る を 右 クリ ッ ク し 、「 ダ ンプ に 従う 」 
を 選択 し ます 。 変数 は 、 左 側 の メモ リウ ィ ン ド ウ に 表示 され ます 。 コ ン ソ ー ル に 123 を 入 
力 す る と 、 メ モリ ウィ ンド ウ に 0х7В が 表示 され ます (ハイ ライ ト さ れ た スク リー ン シ ョ 
ッ ト 領 域 を 参照 )。 


し か し 、 最 初 の バイ ト は な ぜ 7B で し ょ うか ? 論 理 的 に 考え る と 、66 00 00 7B の は ず で 
す 。 こ の 原因 は endianness と 呼ば れる も の で 、x86 は リト ル エ ン デ ィ ア ン を 使用 し ます 。 
これ は 、 最 下位 バイ ト が 最初 に 書 さ 込 入 ま れ 、 最 上 位 バ イト が 最後 に 書き 込ま れる こと を 意 
味 し ます 。 こ れ に つい て の 詳細 : ?? on page ?? この 例 で は 、32 ビ ッ ト の 値 が この メモ リ 
アド レス か ら EAX に ロー ド さ れ 、printf ( ) に 渡さ れ ま す 。 


ヶ の メモ リア ドレ ス は 0x00C53394 C$, 
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OllyDbg で は 、 プ ロ セ ス メ モ リマ ッ プ (Alt-M) を 見 る こと が で き 、 こ の アド レス は プロ グ 
ラム の .data PE セグ メン ト 内 に ある こと が わか り ま す 。 


Contains iti 
66676606) 0006 7000 C:\WindowssSystem32. locale.nl¢ 
001900080 0000500900 Heap 
00209000 aaaa? aaa 
ロロ CB ロロ | ロロ 1 ロロ 
00440000 00003000 Stack of main thread 
86590000) йййй?@йй 
86750606) aaaaceaa Default heap 
BC5 ロ ロロ | 64001900) ex2 FE header 
96051666) 66061660) ex2 
00С52000 | 66061900) ex2 
GG8CS3E86 00001000 ex2 
66054606) 66061060) ex2 Re locat ions 
6E3E0000 | 66061606)  HSUCR100 PE header 
6E3E1000 | 0005200900  HSUCR100 Code, imports, exports 
6E493 ロ ロロ | aaaa6aaa| HSUCR100 Data 
6E499000| 00001000 ISUCER1 ロ 9 Resources 
6E49R000 0000500090 | HSUCR190 Relocations 
75500000| 66061606) Mod 7550 PE header 
755010900 0000300900 
75504000| 00001000 
75505600) 00003000 
755E0000| 66061606) Mod_755E PE header 
755E1000| 00040000 
7562E000| aaaacaaoa 
75633000) 00009000 
75640000| 00001000 Hod_7564 PE header 
756416900) 00038000 
75679000| 0000200900 
7567B8000| 00004000 
76FS0000 0900010000 kernel32 PE header 
76F60000 00000000 | kernel32 etext Code, imports, exports 
77930080) 64019000) kernel32 .data Data 
77040000 | 00010000| kernel32 -rsre Resources 
77656606) ロロ BB ロ | kernel32 .reloc Re locat ions 
77810000 00001000 KERNELBHSE РЕ header 
77811900  00049000 KERNELBASE |. тент Code, imports, exports 
77851666) 66062606) KERNELBASE | .data Data 
77853000 | 66001606) KERNELBASE | .rsrc Resources 
77954000| П0003000 | KERNELBASE |.reloc | Relocations 
77B20000| 00001000 Mod_77B2 PE header 
77821606) 00102000 
77C23000| Bab2Fa08 
77C52000| ロロ BC ロロ 
77CSEGSG| 0006B000 
77060080) ロロ 1 ロ ロロ FE header 
77016666) BBHGB ロ BB Code, exports 
770F 980) 0000100900 RT Code 
ггЕ@@@й@| ёйёйэййй| ntd l Data 


1.17: OllyDbg: process memory map 


GCC: x86 


Linux の 画像 は ほぼ 同じ で す が 、 初 期 化 され て いな い 変 数 は bss セグ メン ト に あり ます 。 
ELF7X フ ァイル で は 、 こ の セグ メン ト に は 次 の 属性 が あり ます 。 


Segment type: Uninitialized 
Segment permissions: Read/Write 


た だ し 、 変 数 を ある 値 で 初期 化し て くだ さい 。10 の 場合 、 次 の 属性 を 持つ data セグ メ 
ント に 配置 され ます 。 


Segment type: Pure data 
Segment permissions: Read/Write 


MSVC: x64 
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Listing 1.73: MSVC 2012 x64 


DATA | SEGMENT 
COMM x : DWORD 


$SG2924 DB ‘Enter X:', бан, 00H 
$SG2925 DB '%d', OOH 
$SG2926 DB 'You entered %а...', бан, 00H 
_DATA ENDS 
TEXT | SEGMENT 
main PROC 
$LN3: 
Sub rsp, 40 
lea rcx, OFFSET FLAT:$SG2924 ; ‘Enter X:' 
call printf 
lea rdx, OFFSET FLAT:x 
lea rcx, OFFSET FLAT:$SG2925 ; ‘%d' 
call scanf 
mov edx, DWORD PTR x 
lea rcx, OFFSET FLAT:$SG2926 ; ‘You entered %d...' 
call printf 
+ 0 を リタ ー ン する 
xor eax, eax 
add rsp, 40 
ret 0 
main ENDP 
_TEXT ENDS 


コー ド は x86 と ほとん ど 同 じ で す 。>z 変数 の アド レス は 、LEA 命令 を 使用 し て scanf() に 
渡さ れ 、 変 数 の 値 は MOV 命令 を 使用 し て 2 番目 の printf( ) に 渡さ れる こと に 注意 し て く 
だ さい 。 DWORD PTR は アセ ン ブ リ 言語 の 一 部 で あり (マシ ンコ ー ド と 無関係 )、 可 変 デー 
タ サ イズ が 32 ビ ッ ト で あり 、MOV 命令 が それ に 応じ て エン コー ド さ れ な けれ ば な ら な いこ 
と を 示し ます 。 


ARM: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


Listing 1.74: IDA 


.text:00000000 ; Segment type: Pure code 


.text:00000000 AREA .text, CODE 

.text:00000000 main 

.text:00000000 PUSH {R4, LR} 

. text: 00000002 ADR RO, aEnterX ; "Enter X:\n" 
.text:00000004 BL . 2printf 

.text:00000008 LDR Rl, =x 

. text: 0000000A ADR RO, aD ; "Sd" 
.text:0000000C BL _ 0scanf 

.text:00000010 LDR RO, =x 


.text:00000012 LDR R1, [RO] 
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.text:00000014 ADR RO, aYouEnteredD . ; "You entered %d...\n" 

.text:00000016 BL . 2printf 

.text:0000001A MOVS RO, 40 

.text:0000001C POP (R4, PC) 

.text:00000020 aEnterX DCB "Enter X:",0xA,0 ; DATA XREF: ma1n+2 

.text:0000002A DCB 0 

.text:0000002B DCB 0 

.text:0000002C off 2C DCD x ; DATA XREF: main+8 

.text:0000002C ; main+10 

.text:00000030 aD DCB "%d",0 ; DATA XREF: main+A 

. text: 00000033 DCB 0 

.text:00000034 aYouEnteredD  DCB "You entered %d...",0xA,0 ; DATA XREF: 
main+14 

. text: 00000047 DCB 0 


.text:00000047 ; .text ends 
. text: 00000047 


.data:00000048 ; Segment type: Pure data 


. data: 00000048 AREA .data, DATA 

. data: 00000048 ; ORG 0x48 

. data: 00000048 EXPORT x 

.data: 00000048 x DCD ӨхА ; DATA XREF: main+8 
. data: 00000048 ; main+10 


.data:00000048 ; .data ends 


し た が っ て 、x 変数 は 現在 グロ ー バ ル で あり 、 こ の た め に 別 の セグ メン ト 、 つ まり デー タ 
セグ メン ト (аа а) に 配置 され て いま す 。 テ キス ト 文 字 列 が コー ド セ グ メン ト (text) に 
あり 、x が ここ に ある の は な ぜ で し ょ うか ? こ れ は 変数 な の で 、 定 義 上 、 そ の 値 は 変更 さ 
れる 可能 性 が あり ます 。 さ ら に 、 頻 繁 に 変更 され る 可能 性 が あり ます 。 テ キス ト 文 字 列 は 
定数 型 で す が 、 変 更 さ れ な いた め 、.rext セグ メン ト に 配置 され ます 。 

コー ド セ グ メン ト は 、 時 に は ROM23 チ ッ プ に 配置 され る こと が あり ます 。 (ここ で は 、 組 み 
込み 電子 機器 を 扱い ます 。 メ モリ 不足 が 普通 で す ) 変更 可能 な 変数 は RAM に 配置 され ます 。 
ROM を 持っ て いる と き は 、 定 数 変数 を RAM に 格納 する の は それ ほど 経済 的 で は あり ませ 
ん 。 

さら に 、RAM の 定数 変数 は 初期 化す る 必要 が あり ます 。 こ れ は 、 電 源 投 入 後 、 明 ら か に RAM に 
ラン ダム 情報 が 含ま れ て いる た めで す 。 

次 に 、 コ ー ド セグ メン ト 内 の x (off 2C) 変数 へ の ポイ ンタ ー が 表示 され 、 変 数 を 使用 す 
る すべ て の 操作 は この ポイ ンタ ー を 介し て 行わ れ ま す 。 

これ は 、x 変数 が この 特定 の コー ド フ ラグ メン ト か ら 離 れ た 場所 に 配置 され る 可能 性 が あ 
る た め 、 そ の アド レス を コー ド の すぐ 近く に 保存 する 必要 が ある た めで す 。 

Thumb モ ー ド の LDR 命令 は 、 そ の 位置 か ら 1020 バ イト の 範囲 内 の 変数 と 、+4095 バイ ト 
の 範囲 の ARM モ ー ド の 変数 か ら の み ア ドレ ス 可 能 で す 。 

し た が っ て 、x 変数 の アド レス は 、 リ ンカ が コー ド の 近く の どこ か に 変数 を 格納 で きる 保 
証 が な いた め 、 近 い 場 所 に 配置 する 必要 が あり ます 。 外 部 メモ リ チ ッ プ で も うま くい く か 
も し れ ま せん ! 

73 読 み 取 り 専用 メモ リ 
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も 


そ 
ま 


う 1 つ : 変数 が const と し て 宣言 され て いる 場合 、Keil コ ン パ イラ は .constdata セグ 


ント に それ を 割り 当て ます 。 


の 後 、 リ ンカ は この セグ メン ト を ROM に コー ド セ グ メン ト と と も に 配置 する こと が で き 


す 。 


ARM64 


Listing 1.75: 非 最適 化 GCC 4.9.1 ARM64 


. L 


. L 


.L 


. comm x,4,4 


f5: 


, 


СӨ: 
.String "Enter X:" 
С1: 
.string "%d" 
C2: 
.string "You entered %d...\n" 
FP と LR を スタ ッ ク フ レー ム に 保存 する : 
stp x29, x30, [sp, -16]! 
スタ ッ ク フ レー ム を 設定 する (FP=SP) 
add x29, sp, 0 


"Enter X:" 文字 列 へ の ポイ ンタ を ロー ド す る : 
adrp х0, .LCO 
add x0, x0, :1012:.1С0 
bl puts 
"Sd" 文字 列 へ の ポイ ンタ を ロー ド す る : 
adrp х0, .LC1 


add x0, x0, :1012:.LC1 
x グ ロー バル 変数 の アド レス を 形作る : 

adrp х1, x 

add х1, x1, :1012:х 

bl . isoc99 scanf 
SEXxZBH—/UVZESIDY RLA ARED: 

adrp x0, x 

add x0, x0, :1012:х 


この アド レス の メモ リ か ら 値 を ロー ド す る : 
tdr w1, [х0] 

"You entered %“d...\n" 文字 列 へ の ポイ ンタ を ロー ド す る : 
adrp x0, .LC2 


add x0, x0, :1012:.LC2 
bl printf 
0 を リタ ー ン する 
mov w0, 0 
; FP と LR を リス ト ア する : 
tdp x29, x30, [sp], 16 
ret 


c 


H 


の 場合 、 r 変数 は グロ ー バ ル と LTE 
と 25 行 目 ) を 使用 し て 計算 され ます 。 


言 さ れ 、 そ の アド レス は ADRP/ADD @ 


BAP (21 行 
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MIPS 

初期 化 さ れ て いな い グ ロー バル 変数 

だ か ら 今 2 変数 は グロ ー バ ル で す 。 オ ブ ジ ェクト ファ イル で は な く 実 行 ファ イル に コン パ 
イル し 、IDA に ロー ド し て み ま し ょ う 。IDA は 、.spss ELF セ クシ ョ ン に z 変数 を 表示 し ま 


す (25 ペ ー ジ の 「 グ ロー バル ポイ ンタ 」 1.5.4 on page 32 を 覚え て お いて くだ さい )。 こ 
れ は 変数 が 最初 に 初期 化 さ れ て いな いた めで す 。 


Listing 1.76: 最適 化 GCC 4.4.5 (IDA) 


.text:004006CO main: 
. text: 004006C0 


.text:004006CO var 10 = -0x10 

.text:004006CO var 4 = -4 

. text: 004006C0 

; 関数 プロ ロー グ : 

. text: 004006C0 lui $gp, 0x42 
.text:004006C4 addiu  $sp, -0x20 
.text:004006C8 li $gp, 0x418940 
.text:004006CC SW $га, Ox20+var_4($sp) 
. text: 004006D0 SW $gp, 0x20«var 10($sp) 
; puts() を 呼び 出す : 

.text:004006D4 ta $t9, puts 

. text: 004006D8 lui $a0, 0x40 
.text:004006DC jatr $t9 ; puts 

. text: 004006E0 la $a0, aEnterX # "Enter X:" ; branch delay 
; scant() を 呼び 出す : 

.text:004006E4 tw $gp, 0x20«var 10($sp) 
.text:004006E8 lui $a0, 0x40 
.text:004006EC la $t9, _ isoc99 scanf 

; xX の アド レス を 準備 する : 

. text: 004006F0 la $al, x 

.text:004006F4 jalr $t9 ; _isoc99 scanf 
. text: 004006F8 la $a0, aD # "Sd" ; branch delay slot 
; printf() を 呼び 出す : 

.text:004006FC lw $gp, 6x26+var 10($sp) 


.text:00400700 lui $a0, 0x40 

; X の アド レス を 取得 する : 

.text:00400704 la $v0, x 
.text:00400708 la $t9, printf 


; 変数 x か ら 値 を ロー ド し て 


$allc Cprintf() 


に 値 を 渡す : 


.text:0040070C lw $al, (x - 0x41099C)($v0) 

.text:00400710 jatr $t9 ; printf 

.text:00400714 la $a0, aYouEnteredD  £ "You entered %d...Nn" 
; branch delay slot 

; 関数 エピ ロー グ : 

.text:00400718 lw $га, Ox20+var 4($SD) 

.text:0040071C move $v0O, $zero 

.text:00400720 jr $ra 

.text:00400724 addiu $sp, 0x20 ; branch delay slot 
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.Sbss:0041099C # Segment type: Uninitialized 


.Sbss:0041099C 
.Sbss:0041099C 
.Sbss:0041099C x: 
.Sbss:0041099C 


„5055 


.globl x 
.space 4 


IDA は 情報 量 を 減ら す た め 、objdump を 使用 し て リス ティ ング を 行い 、 コ メン ト し ます 。 
Listing 1.77: 最適 化 GCC 4.4.5 (objdumDp) 


004006с0 «main»: 


; 関数 プロ ロー グ : 

4006c0: 3c1c0042 lui gp, 0x42 

4006c4: 27bdffeO addiu sp,sp, -32 

4006c8: 279c8940 addiu gp, gp, -30400 

4006cc: afbf001c sw ra,28(sp) 

4006d0: afbc0010 sw gp,16(sp) 
; puts() を 呼び 出す : 

4006d4: 8f998034 lw t9,-32716(9p) 

4006d8: 3c040040 lui a0,0x40 

4006dc: 03201809 jalr t9 

4006e0: 248408f0 addiu aQ,a0,2288 ; branch delay slot 
; scanf() を 呼び 出す : 

4006e4: 8fbc0010 1м gp,16(sp) 

4006e8: 3c040040 lui a0,0x40 

4006ec: 819098038 lw t9,-32712(9p) 
; x の アド レス を 準備 する : 

400610: 81858044 lw al,-32700(gp) 

4006f4: 03201809 jalr t9 

4006f8: 248408fc addiu a0,a0,2300 ; branch delay slot 
; printf() を 呼び 出す : 

4006fc: 8fbc0010 1м gp,16(sp) 

400700: 3c040040 lui a0 ,0x40 
; x の アド レス を 取得 する : 

400704: 81828044 lw v0,-32700(gp) 

400708: 8f99803c lw t9, - 32708(gD) 
: 変数 x か ら 値 を ロー ド し て $a1 に て printf() に 値 を 渡す : 

40070c: 8с450000 1м al,0(v0) 

400710: 03201809 jalr t9 

400714: 24840900 addiu a0,a0,2304 ; branch delay slot 
; 関数 エピ ロー グ : 

400718: 8fbfOO1c lw ra,28(sp) 

40071c: 00001021 move v0,zero 

400720: 03e00008 jr ra 

400724: 27bd0020 addiu sp,sp,32 ; branch delay slot 
; 次 の 関数 の 開始 アド レス が 16 バ イト 境界 に な る よう に NOP で 埋め る : 

400728: 00200825 move at , at 

40072c: 00200825 move at,at 


今度 は r 変数 アド レス が GP を 使っ て 64KiB の デー タバ ッ フ ァ か ら 読 み 込 まれ 、 負 の オフ セ 
ッ ト が 加え られ て いる こと が わか り ま す (18 行 目 )。 さ ら に 、 こ の 例 (puts() 、scanf ( ) 
. printf() ) で 使用 され て いる 3 つの 人 外部 関数 の アド レス も GP を 使用 し て 64KiB グ ロー 
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バル デー タバ ッ フ ァ か ら 読 み 込ま れ ま す (9,16,26 行 目 ) 。GP は バッ ファ の 中 央 を 指し て 
いま す 。 こ の よう な オフ セッ ト は 、3 つ の 関数 の アド レス と z 変数 の アド レス が すべ て そ 
の バッ ファ の 先頭 に 格納 され て いる こと を 示し て いま す 。 私 た ちの 例 は 非常 に 小さ い の で 、 
それ は 理 に か な っ て いま す 。 


言及 する 価値 が ある 別 の こと は 、 次 の 関数 の 開始 を 16 バ イト の 境界 に 合わ せる た め に 、 関 
数 が 2 つの NOP (MOVE $АТ, $AT、 ア イド ル 命 令 ) で 終了 する こと で す 。 


初期 化 さ れ た グロ ー バ ル 変 数 


т 変数 に デフ ォ ル ト 値 を 与え る こと で 、 こ の 例 を 変更 し まし ょ う 。 


int x=10: // default value 


IDA は x 変数 が .data セ クシ ョ ン に 存在 する こと を 示し て いま す : 
Listing 1.78: 最適 化 GCC 4.4.5 (IDA) 


.text:004006A0 main: 
.text:004006A0 


.text:004006A0 var 10 - -0x10 

.text:004006A0 var 8 = -8 

.text:004006A0 var 4 = -4 

.text:004006A0 

.text:004006A0 lui $gp, 0x42 
.text:004006A4 addiu $sp, -0x20 

. text: 004006A8 li $gp, 0x418930 

. text: 004006AC SW $ra, 0x20+var_4($sp) 

. text: 004006B0 SW $50, Ox20+var 8($sp) 
.text:004006B4 sw $gp, 0x20+var_10($sp) 
.text:004006B8 la $t9, puts 
.text:004006BC lui $a0, 0x40 

. text: 004006C0 jalr $t9 ; puts 

. text: 004006C4 la $a0, aEnterX # "Enter X:" 
.text:004006C8 lw $gp, Ox20+var 10($sp) 

: アド レス x の 高 ビ ッ ト を 準備 する : 

.text:004006CC lui $s0, 0x41 
.text:004006D0 la $t9, _ isoc99 scanf 
.text:004006D4 lui $a0, 0x40 

; アド レス x の 低 ビ ッ ト を 準備 する : 

.text:004006D8 addiu $al, $s0, (x - 0x410000) 
; アド レス x は $a1 に あり ます 

. text: 004006DC jalr $t9 ; isoc99 scanf 

. text: 004006E0 la $a0, aD # "Sd" 
.text:004006E4 lw $gp, 0х20+уаг_10($5р) 

; メモ リ か ら word を 取得 する : 

. text: 004006E8 lw $al, x 

; x の 値 は $a1 に あり ます 

.text:004006EC la $t9, printf 
.text:004006F0 lui $a0, 0x40 
.text:004006F4 jalr $t9 ; printf 

. text: 004006F8 la $a0, aYouEnteredD # "You entered %d...\n" 


.text:004006FC lw $га, Ox20+var 4($sp) 
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.text:00400700 move $V0, $zero 
.text:00400704 lw $50, Ox20+var 8($sp) 
. text: 00400708 jr $га 

.text:0040070C addiu $sp, 0x20 
.data:00410920 .globl x 

.data:00410920 x: .word OxA 


.sdata に し た ら ? こ れ は お そら くい くつ か の GCC オプ ショ ン に 依存 する の で し ょ うか ? 


それ に も か か わら ず 、z は 一 般 的 な メモ リ 領 域 で ある .data に あり 、 こ こ で 変数 を 扱う 方 法 
を 見 て みる こと が で きま す 。 


変数 の アド レス は 、 命 令 の ペア を 使用 し て 構成 する 必要 が あり ます 。 


私 た ちの 場合 、 そ れ ら は LUI (「Load Upper Immediate」) と ADDIU (「Add Immediate 
Unsigned Word」) で す 。 


厳密 な 検査 の た め の objdump リ スト も あり ます : 
Listing 1.79: 最適 化 GCC 4.4.5 (objdumDp) 


004006a0 <main>: 
4006a0: 3c1c0042 lui gp ,0x42 
4006a4: 27bdffe0 addiu sp, Sp, -32 
4006a8: 279c8930 addiu gp, gp, -30416 


4006ac: afbf001c sw ra,28(sp) 
4006b0: afb00018 sw s0,24(sp) 
400604: afbc0010 sw gp,16(sp) 
4006b8: 81098034 lw t9, -32716(gp) 
4006bc: 3c040040 lui a0 ,0x40 


4006c0: 0320f809 jalr t9 
4006c4: 248408d0 addiu  a0,a0,2256 


4006c8: 8fbc0010 1м gp,16(sp) 

; アド レス x の 高 ビ ッ ト を 準備 する : 
4006cc: 3c100041 lui s0,0x41 
4006d0: 819098038 1м t9,-32712(gp) 
4006d4: 3c040040 lui a0,0x40 


アド レス x の 低 ビ ッ ト に 加え る : 

400648: 26050920 addiu а1, 50,2336 

アド レス x は $a1 に あり ます 

4006dc: 03201809 jalr +9 

4006e0: 248408dc addiu  a0,a0,2268 

4006e4: 8fbc0010 1м gp,16(sp) 

: アド レス x の 高 ビ ッ ト は $s9 に あり ます : 

アド レス x の 低 ビ ッ ト に 加え て 、 メ モリ か ら word を ロー ド す る : 


4006e8: 8е050920 lw а1,2336(50) 

; x の 値 は $a1l に あり ます 
4006ec: 8f99803c lw t9,-32708(gp) 
4006f0: 3c040040 lui аб, 0x40 


400614:  0320f809 jalr t9 
4006f8: 248408е0 addiu  a0,a0,2272 
4006fc: 8fbfOO1c 1м ra,28(sp) 
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400700: 00001021 move v0,zero 
400704: 8fb00018 lw s0,24(sp) 
400708: 03e00008 jr ra 
40070c: 27bd0020 addiu sp,sp,32 


アド レス は LUI と ADDIU を 使用 し て 形成 され て いま す が 、 ア ドレ ス の 上 位 部 分 は まだ 
$50 レジ スタ に あり 、Lw (「Load Word) 命令 で オフ セッ ト を エン コー ド す る こと が で き 
ます 。 変数 か ら 値 を ロー ド し て printf( ) に 渡す に は 十分 で す 。 

一 時 的 な デー タ を 保持 する レジ スタ の 先頭 に は が 付い て いま す が 、 こ こ で は 接頭 辞 S- が 
付い て いま す 。 そ の 内 容 は 他 の 関数 で 使用 する 前 に 保持 し て お く 必 要 が あり ます 。 
その た め 、$S0 の 値 は Ox4006cc の アド レス に 設定 され て お り 、scanf( ) 呼び 出し 後 
に 0x4006e8 番 地 で 再び 使用 され て いま す 。 scanf( ) 関数 は 値 を 変更 し ませ ん 。 


第 1.9.4 節 scanf( ) 


前 述 の よう に 、 今 日 scanf( ) を 使用 する の は ちょ っ と 古めかしい で す 。 し か し 、 HERS 
ば 、scanf( ) が エラ ー な く 正 し < く 終了 する か どう か を 確認 する 必要 が あり ます 。 


#include <stdio.h> 


int main() 
t 
int x; 
printf ("Enter X:Nn"); 


if (scanf ("%d", &x)==1) 

printf ("You entered %d...Nn", x); 
else 

printf ("What you entered? Huh?Nn"); 


return 0; 
}; 


= ж (4, scanf ( ) 7? 関 数 は 正常 に 読み 取ら れ た フィ ー ル ド の 数 を 返し ます 。 


私 た ちの 場合 、 す べ て が うま く 行 き 、 ユ ー ザ ー が 数 字 を 入力 し た 場合 、scanf( ) は 1 を 返 
し 、 エ ラー (また は EOF や ) で は 0 を 返し ます 。 


scanf( ) の 戻り 値 を チェ ッ ク す る た め の C コ ー ド を 追加 し 、 エ ラー の 場合 に は エラ ー メ ッ 
セー ジ を 出力 し て み ま し ょ う 。 


期待 どおり に 動作 し ます 。 


C:\...>ex3.exe 
Enter X: 

123 

You entered 123... 


C:\...>ex3.exe 


74scanf, wscanf: MSDN 
75End of File (ファ イル 終端 ) 
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Enter X: 
ouch 
What you entered? Huh? 


MSVC: x86 
アセ ンプ ブリ 出力 (MSVC 2010) の 内 容 は 次 の と お り で す 。 
lea eax, DWORD PTR _x$[ebp] 
push eax 
push OFFSET $SG3833 ; ‘%d', 00H 
call _scanf 
add esp, 8 
cmp eax, 1 
jne SHORT $LN2@main 
mov ecx, DWORD PTR _x$[ebp] 
push ecx 
push OFFSET $563834 ; 'You entered %d...', дан, OOH 
call | printf 
add esp, 8 
jmp SHORT $LN1@main 
$LN2@main: 
push OFFSET $SG3836 ; ‘What you entered? Huh?', бан, OOH 
call _ printf 
add esp, 4 
$LN1@main: 
xor eax, eax 


caller 関数 (main() ) は callee 関数 (scanf( ) ) の 結果 を 必要 と する た め 、 呼 び 出し 先 
は EAX レジ スタ に 返し ます 。 


我々 は 、CMP EAX, 1 (CoMPare) の 指示 に より それ を チェ ッ ク し ます 。 つ まり 、EAX レジ 
スタ の 値 と 1 を 比較 し ます 。 


JNE 条件 ジャ ンプ が СМР 命令 の 後に 続き ます 。JNE は Jump if Not Equal の 略 で す 。 


し た が っ て 、 EAX レジ スタ の 値 が 1 に 等 し く な い 場 合 、 CPU は JNE オペ ラン ド に 記述 され て 
いる アド レス (この 場合 は $LN2G@main) に 実行 を 渡し ます 。 この アド レス に 制御 を 渡す と 、 
CPU は printf( ) を 引数 What you entered? Huh? で 実行 し ます 。 し か し 、 す べ て が 
うま くい け ば 、 条 件 付き ジャ ンプ は 取ら れず 、 別 の printf( ) 呼び 出し が 'You entered 
%d...' と x の 値 を 引数 に と っ て 実行 され ます 。 


この 場合 、2 番 目 の printf( ) は 実行 され な いた め 、 そ の 前 に JMP が あり ます GREY 

ャ ンプ )。 2 番目 の printf() の 後 、 戻 り 値 0 を 実装 する XOR EAX, EAX 命令 の 直前 に 制 

御 を 渡し ます 。 

し た が っ て 、 あ る 値 を 別 の 値 と 比較 する こと は 、 通 常 、CMP/Jcc 命令 ぺ ア に よっ て 実装 さ 

れる と 言え ます cc は 条件 コー ド で す 。CMP は 2 つの 値 を 比較 し 、 プ ロ セ ッ サ フラ グ 7⑯ を 設 

к сс は これ ら の フラ グ を チェ ッ ク し 、 指 定 さ れ た アド レス に 制御 を 渡す か どう 
を 決定 し ます 。 

76x86 フ ラグ は 以下 を 参照 : wikipedia 
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これ は 逆説 的 に 聞こ える か も し れ ま せん が 、CMP 命令 は 実際 に は SUB (減算 ) で す 。 す 
べ て の 算術 命令 は 、CMP だ け で な く プ ロ セ ッ サ フラ グ を 設定 し ます 。1 と 1 を 比較 し 、1-1 
が 0 で ある た め 、ZF フ ラグ が 設定 され ます (最後 の 結果 が 0 で ある こと を 意味 し ます )。 オ 
ペラ ンド が 等 し い 場 合 を 除い て 、ZF は 設定 で きま せん 。JNE は ZF フラ グ の み を チェ ッ ク 
し 、 設 定 さ れ て いな い 場 合 に ジャ ンプ し ます 。jNE は 実際 に は jNZ (Jump if Not Zero) の 
同義 語 で す 。 ア セン ブラ は 、 JNE 命 令 と 」NZ 命 令 の 両方 を ん 同じ オペ コー ド に 変換 し ます 。 し 
た が っ て 、CMP 命令 は SUB 命令 で 置き 換え る こと が で き 、SUB が 最初 の オペ ラン ド の 値 を 
変更 する と いう 違い を 除け ば 、 ほ と ん どす べ て が 問題 あり ませ ん 。CMP は 結果 を 保存 し な 
い SUB で す が 、 フ ラグ に 影響 し ます 。 


MSVC: x86: IDA 


IDA を 実行 し て IDA を 実行 し よう と し ます 。 と ころ で 、 初 心 者 の 方 は 、MSVC で /MD オプ シ 
ョ ン を 使用 する こと を お 勧め し ます 。 つ まり 、 こ れ ら の 標準 関数 は すべ て 実行 可能 ファ イ 
ル に リン ク さ れず 、 代 わり に MSVCR* .DLL ファ イル か ら イ ン ポ ー ト され ます 。 し た が っ 
て 、 ど の 標準 関数 が 使用 され 、 ど こ で どこ が 使用 され て いる の か が 分 か りや すく な り ま す 。 


IDA の コー ド を 分 析 す る 際 に は 、 自 分 自身 (と 他 者 ) の た め に ノー ト を 残す こと が 非常 に 
役に立ち ます 。 例 えば 、 こ の 例 を 分 析 す る と 、 エ ラー が 発生 し た 場合 に JNZ が トリ ガー さ 
れる こと が わか り ま す 。 カ ー ソ ル を ラベ ル に 移動 し て 「n」 を 押し 、「 エ ラー」 に 名 前 を 変 
更 す る こと が で きま す 。 別 の ラベ ル を 作成 し 、「 終 了 」 に し ます 。 以下 が 私 の 環境 で の 結果 
+, 


.text:00401000 main proc near 
. text: 00401000 

. text: 00401000 var 4 
.text:00401000 argc 
.text:00401000 argv 
.text:00401000 envp 
. text: 00401000 


dword ptr -4 
dword ptr 8 
dword ptr (Ch 
dword ptr 10h 


.text:00401000 push ebp 

.text:00401001 mov ebp, esp 

.text:00401003 push ecx 

.text:00401004 push offset Format ; "Enter X:\n" 
.text:00401009 call ds:printf 

.text:0040100F add esp, 4 

.text:00401012 lea eax, [ebp+var 4] 
.text:00401015 push eax 

.text:00401016 push offset aD ; "%d" 
.text:0040101B call ds:scanf 

.text:00401021 add esp, 8 

.text:00401024 cmp eax, 1 

.text:00401027 jnz short error 

.text:00401029 mov ecx, [ebp+var 4] 
.text:0040102C push ecx 

.text:0040102D push offset aYou ; "You entered %d...\n" 
.text:00401032 call ds:printf 

.text:00401038 add esp, 8 

.text:0040103B jmp short exit 


.text:0040103D 
.text:0040103D error: ; CODE XREF: main+27 
.text:0040103D push offset aWhat ; "What you entered? Huh?\n" 
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.text:00401042 call ds:printf 
.text:00401048 add esp, 4 
.text:0040104B 

.text:0040104B exit: ; CODE XREF: main+3B 
.text:0040104B xor eax, eax 
.text:0040104D mov esp, ebp 
.text:0040104F pop ebp 
.text:00401050 retn 

.text:00401050 main endp 


これ で 、 コ ー ド を 少し 理解 し や すく な り ま し た 。 
する の は 良い 考え で は あり ませ ん 。 


また 、IDA の 関数 の 一 部 を 隠す こと も で きま す 。 


し か し 、 す べ て の 命令 に つい て コメ ント 


ブロ ッ ク を マー ク す る に は 、Ctrl-「-」 を 


数 値 パ ッ ド に 入力 し 、 代 わり に 表示 する テキ スト を 入力 し ます 。 


2 つの ブロ ッ ク を 隠し て 名 前 を 付け まし ょ う 。 


.text:00401000 text segment para public 'CODE' use32 
. text: 00401000 assume cs: text 

. text: 00401000 ;org 401000h 
.text:00401000 ; ask for X 

.text:00401012 ; get X 

.text:00401024 cmp eax, 1 
.text:00401027 jnz short error 
.text:00401029 ; print result 
.text:0040103B jmp short exit 
.text:0040103D 

.text:0040103D error: ; CODE XREF: main+27 
.text:0040103D push offset aWhat ; "What you entered? Huh?\n" 
.text:00401042 call ds:printf 
.text:00401048 add esp, 4 
.text:0040104B 

.text:0040104B exit: ; CODE XREF: main+3B 
.text:0040104B xor eax, eax 

. text: 0040104D mov esp, ebp 

. text: 0040104F pop ebp 

. text: 00401050 retn 

.text:00401050 main endp 


以前 に 折り た た まれ た 部 分 を 展開 する に は 、 数 値 パ ッ ド で Ctrl-「+」 を 使用 し ます 。 
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「 ス ペー ス 」 を 押す と 、IDA が 関数 を グラ フ と し て 表示 する の を 見 る こと が で きま す 。 


; int _ cdecl main() 
| nain proc near 


var h- dword ptr -4 
argc- dword ptr 8 

argu- dword ptr BEh 
enup- dword ptr 16h 


ebp 
nou ebp, esp 

push ecx 

push offset Format ; "Enter X:\n" 
call ds :printf 

add esp, 4 

lea eax, [ebp*var 4] 

push eax 

push offset aD 
call ds:scanf 
add esp, 8 

cmp eax, 1 

j short error 


ae 
a 


ecx, [ebp*var 4] 

ecx "ror: ; “What you entered? Huh?Xn'" 
offset aVou ; “You entered %d...\n" offset aWhat 

ds :printf ds:printf 

esp, 8 esp, 4 

short exit 


| nain endp 


1.18: Graph mode in IDA 


各 条 件 ジャ ンプ の 後 、 緑 と ホ の 2 つの 矢印 が あり ます 。 緑 の 矢 町 は 、 ジ ャ ンプ が トリ ガ さ れ 
た 場合 に 実行 され る ブロ ッ ク を 指し 、 そ う で な い 場 合 は 赤 を 指し ます 。 
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この モー ド で ノー ド を 折り た た み 、 名 前 を 付け る こと も で きま す (Iq グル ー プ ノー ド ) 。 
3 つの プロ ッ ク で や っ て み ま し ょ う 。 


; int  cdecl main() 
| nain proc near 


var h- dword ptr -4 
argc- duord ptr 8 

argu- dword ptr  8Ch 
enup- dvord ptr 16h 


ebp 
mou ebp, esp 

push ecx 

push offset Format ; "Enter X:\n" 
call ds:printf 

add esp, 4 

lea eax, [ebp*var ^4] 

push eax 

push offset aD ; "5а" 

call ds:scanf 
add esp, 8 

cmp eax, 1 

j short error 


BANu h | 


print error message 


1.19: Graph mode in IDA with 3 nodes folded 


それ は 非常 に 便利 で す 。 リ バー スエ ンジ ニア の 仕事 (お よび 他 の 研究 者 の 仕事 ) の 非常 に 
重要 な 部 分 は 、 彼 ら が 扱う 情報 の 量 を 減ら すこ と で ある と 言え ます 。 
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MSVC: x86 + OllyDbg 


OllyDbg で プロ グラ ム を ハッ ク し よう と し て 、scanf( ) が 常に エラ ー な く 動 作 す る よう 
に し まし ょ う 。 ロー カル 変数 の アド レス が scanf ( ) に 渡さ れる と 、 変 数 に は 最初 に いく 
つか の ラン ダム な ガベージ が 含ま れ ま す 。 この 場合 、0x6E494714 G$, 


CPU - main thread, module ex3 


PUSH ЕВР 


く &HSUCR1g ロ 。 print 


815 


FFFFFFFF) 
FFFFFFF) 

at FFFFFFFF) 

BLFFFFFFFF) 

?EFDDggg( FFF) 

BLFFFFFFFF) 


SO OcOOO-O 


" 34 
0042FC1C 


7 What you 
FF FF| ered? Huh? 


Ө "p 
Hiẹ hN 


1.20: OllyDbg: passing variable address into scanf ( ) 
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scanf( ) が 実行 され て いる 間 、 コ ン ソ ー ル で は 、「asdasd」 の よう に 、 数 字 で は な いも の 
を 入力 し ます 。 scanf ( ) は 、 エ ラー が 発生 し た こと を 示す EAX が 0 で 終了 し ます 。 
また 、 ス タッ ク 内 の ロー カル 変数 を チェ ッ ク し 、 変 更 さ れ て いな いこ と に 注意 し て くだ さ 
い 。 実際 、 scanf( ) は 何 を 書い て いま すか ? ゼ ロ を 返す 以外 は 何 も し ませ ん で し た 。 
私 た ちの プロ グラ ム を 「 ハ ッ ク す る 」 よ うに し まし ょ う 。EAX を 右 ク リッ ク し 、 オ プシ ョ 
ン の 中 に 「Set to 1] が あり ます 。 これが 必要 な も の で す 。 
EAX に は 1 が ある の で 、 以 下 の チ ェ ッ ク を 意図 どおり に 実行 し 、printf( ) は 変数 の 値 を ス 
タッ ク に 出力 し ます 。 
プロ グラ ム (F9) を 実行 する と 、 コ ン ソ ー ル ウィ ンド ウ で 次 の よう に 表示 され ます 。 


Listing 1.80: console window 


Enter X: 
asdasd 
You entered 1850296084... 


実際 、 1850296084 は スタ ッ ク (0x6E494714) の 数 値 を 10 進 表現 し た も の で す ! 
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MSVC: x86 + Hiew 


これ は 、 実 行 可能 ファ イル の パッ チ 適 用 の 簡単 な 例 と し て も 使用 で きま す 。 実行 可能 ファ 
イル に パッ チ を 適用 し て 、 入 力 内 容 に か か わら ず プ ログ ラム が 常に 入力 を 出力 する よう に 
する こと が あり ます 。 


実行 可能 ファ イル が 外部 の MSVCR*.DLL (つま り /MD オプ ショ ン 付 き ) 77 に 対し て コン 
パイ ル さ れ て いる と 仮定 する と 、.text セク ショ ン の 先頭 に main( ) 関数 が あり ます 。 
Hiew で 実行 可能 ファ イル を 開き 、.text セク ショ ン の 先頭 を 見 つけ まし ょ う (Enter、F8、 
F6. Enter. Enter), 


以下 の よう に 見 えま す 。 


C:\Polygon\o11ydbg\ex3.exe a32 PE .00401000 |Ніе 
.00401000: ebp 
.00401001: ebp,esp 
.00401003: ecx 
.00401004: ; Enter X:' --E 
.00401009: printf 
.0040100F: 83C494 esp, 
.00401012: 8D45FC eax, [ebp][-4] 
.00401015: 50 eax 
.00401016: 68 --8 
.0040101B: FF15 scanf 
.00401021: 83С408 esp, 
.00401024: 83F891 eax, 
.00401027: 7514 | --E 
.00401029: 8B4DFC ecx, [ebp][-4] 
.0040102C: 51 ecx 
.0040102D: 68 ; You entered Xd...' 
.00401032: FF15 printf 
.00401038: 83C498 esp, 
.0040103B: EBOE j --8 
.0040103D: 68 ; What you entered? 
.00401042: FF15 printf 
.00401048: 83C404 esp, 
.0040104B: 33C9 eax,eax 
.0040104D: 8ВЕ5 esp,ebp 
.0040104F: 5D ebp 
.00401050: C3 - 
.00401051: B84D5A00 


Blk 3Cr 


1.21: Hiew: main() function 


Hiew は ASCIIZ78 文 字 列 を 検索 し 、 イ ン ポ ー ト され た 関数 の 名 前 と 同様 に 表示 し ます 。 


77「 ダ イナ ミッ クリ ンク 」 と も 呼ば れる 
78ASCII Zero ( ヌル 終端 文字 列 ) 


117 
カー ソル を .600401027 番地 (ここ で バイ パス する JNZ 命令 が ある 場所 ) に 移動 し 、F3 を 
押し 、「9090」(2 つ の NOP を 意味 する ) と 入力 し ます 。 


E>; Y 
C:\Polygon\ollydbg\ex3.exe BFWO EDITMODE a32 PE 0000 

00000400: 55 ebp 
00000401: 8ВЕС ebp,esp 
00000403: 51 ecx 
00000404: 68 ." ӨВ” 
00000409: FF15 а, [000402094] 
0000040F: 83C404 esp, 
00000412: 8D45FC eax, [ebp][-4] 
00000415: 50 eax 
00000416: 68 ; qe8' 
0000041B: FF15 а, [00040208C] 
00000421: 83C498 esp, 
00000424: 83F801 eax, 
00000427: 


00000428: 
00000429: 8 ecx, [ebp][-4] 
0000042C : ck 


0000042D: ; qQem' 
00000432: d, [000402094] 
00000438: 83C408 esp, 

0000043B: EBOE 

0000043D: 68 ; @0$' 
00000442: FF15 d, [000402094] 
00000448: 83C494 esp, 

0000044B: 33C9 eax,eax 

0000044D: 8ВЕ5 esp,ebp 

9999944F: 5D ebp 

00000450: C3 


1.22: Hiew: replacing JNZ with two NOPs 


その 後 、F9 (更新 ) を 押し ます 。 こ れ で 、 実行 可能 ファ イル が ディ スク に 保存 され ます 。 私 
た ち が 望 むように 動作 し ます 。 


2 つの NOP は お そら く 最 も 美しい アプ ロー チ で は あり ませ ん 。 こ の 命令 を パッ チ す る 別 の 
方 法 は 、 第 2 オペ コー ドバイ ト に 0 を 書き 込む こと で あり (jump offset )、JNZ は 常に 次 の 
命令 に ジャ ンプ し ます 。 

また 、 最 初 の バイ ト を EB で 置き 換え 、2 番 目 の バ イト (jump offset) に は 触れ な いで く 
だ さい 。 私 た ち は 常 に 無 条 件 の ジャ ンプ を 得る で し ょ う 。 こ の 場合 、 エ ラー メッ セー ジ は 
入力 に 関係 な く 毎回 表示 され ます 。 
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MSVC: x64 


ここ で は x86-64 の 32 ビ ッ ト で ある int 型 変数 に つい て 説明 し て いる の で 、 


> > 


cc 


で は レジ 


スタ の 32 ビ ッ ト 部 分 (E- を 前 に 付け る ) も 同様 に 使用 され て いま す 。 た だ し 、 ポ イン タ を 
使用 し て いる 間 は 、64 ビ ッ ト の レジ スタ 部 分 が 使用 され 、 先頭 に R- が 付き ます 。 


Listing 1.81: MSVC 2012 x64 


DATA | SEGMENT 
$SG2924 DB 'Enter X:', бан, 00H 
$SG2926 DB '%d', OOH 
$SG2927 DB 'You entered %а...', бан, 00H 
$SG2929 DB ‘What you entered? Huh?', бан, ӨӨН 
DATA ENDS 
TEXT | SEGMENT 
x$ = 32 
main PROC 
$LN5: 
sub rsp, 56 
lea rcx, OFFSET FLAT:$SG2924 ; ‘Enter X:' 
call printf 
lea rdx, QWORD PTR x$[rsp] 
lea rcx, OFFSET FLAT:$SG2926 ; ‘%d' 
call scanf 
cmp eax, 1 
jne SHORT $LN2@main 
mov edx, DWORD PTR x$[rsp] 
lea rcx, OFFSET FLAT:$SG2927 ; ‘You entered %d...' 
call printf 
jmp SHORT $LN1@main 
$LN2@main: 
lea rcx, OFFSET FLAT:$SG2929 ; ‘What you entered? Huh?' 
call printf 
$LN1@main: 
; 0 を リタ ー ン 
xor eax, eax 
add rsp, 56 
ret 0 
main ENDP 
TEXT X ENDS 
END 
ARM 


ARM: 最適 化 Keil 6/2013 (Thumb € — F) 


Listing 1.82: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


PUSH 
ADR 


{R3,LR} 


RO, aEnterX ; "Enter X:Nn" 


о O OU L ON P 
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BL _ 2printf 
MOV R1, SP 
ADR RO, aD ; "Sd" 
BL _ 0scanf 
CMP RO, #1 
BEQ loc_1E 
ADR RO, aWhatYouEntered ; "What you entered? Huh?\n" 
BL _ 2printf 
loc_1A ; CODE XREF: main+26 
MOVS RO, #0 
POP {R3, PC} 
loc 1E ; CODE XREF: main+12 
LDR R1, [SP,#8+var_8] 
ADR RO, aYouEnteredD _ ; "You entered %d...Nn' 
BL _ 2printf 
B loc 1A 


ここ で の 新しい 命令 は CMP BEQ OTH, 


CMP は 同じ 名 前 の x86 命 令 に 似 て いま す が 、 他 の 引数 か ら 引 数 の 1 つ を 減算 し 、 必 要 に 応じ 
て 条件 フラ グ を 更新 し ます 。 

オペ ラン ド が 互い に 等 し い 場 合 、 ま た は 最後 の 計算 の 結果 が 0 の 場合 、 ま た は Z フ ラグ が 1 の 
場合 BEQO は 別 の アド レス に ジャ ンプ し ます 。 こ れ は x86 で は JZ と し て 動作 し ます 。 


それ 以外 は すべ て シン プル で す 。 実行 フロ ー が 2 つの 分 岐 に 分 岐 し た 後 、 関 数 の 戻り 値 と 
し て 0 が R0 に 書き 込ま れ た 時 点 で 分 岐 が 収束 し 、 関 数 が 終了 し ます 。 


ARM64 
Listing 1.83: 非 最適 化 GCC 4.9.1 ARM64 

.LC0: 

.string "Enter X:" 
.LC1: 

.string "%а" 
.LC2: 

.string "You entered %d...Nn" 
.LC3: 

.string "What you entered? Huh?" 
f6: 
; スタ ッ ク フ レー ム に FP と LR と 保存 

stp x29, x30, [sp, -32]! 
‚ スタ ッ ク フ レー ム を 設定 (FP=SP) 

add x29, sp, 0 


; "Enter X:" 文字 列 へ の ポイ ンタ を ロー ド 
adrp х0, .LCO 
add x0, x0, :1012:.LC0 
bl puts 


79(PowerPC, ARM) Branch if Equal 
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, 


, 


"sd" 文字 列 へ て の ポイ ンタ を ロー ド 
adrp x0, .LC1 


add х0, x0, :1012:.LC1 
ロー カル スタ ッ ク に ある 変数 x の アド レス を 計算 

add x1, x29, 28 

bl . isoc99 scanf 
WOlcscanf() の 戻り 値 が 入っ て いる 
チェ ッ ク す る 

cmp мо, 1 


BNE は イコ ー ル で な い 場 合 に 分 岐 する 

だ か ら 、W6<>1 の 場合 、L2 に ジャ ンプ する 
bne .L2 

W0=1 の 場合 、 エ ラー な し 

ロー カル スタ ッ ク か ら x の 値 を ロー ド す る 
tdr w1, [x29,28] 

"You entered %d...\n" 文字 列 へ の ポイ ンタ を ロー ド す る 
adrD х0, .LC2 


add x0, x0, :1012:.LC2 
bl printf 

"What you entered? Huh?" 文字 列 を 表示 する コー ド を スキ ッ プ する 
b „ЄЗ 


"What you entered? Huh?" 文字 列 へ の ポイ ンタ を ロー ド す る 
adrp х0, .LC3 


add x0, x0, :1012:.LC3 
bl puts 

L3: 

‚ 0 を リタ ー ン 
mov w0, 0 

; FP と LR を 元 に 戻す : 
tdp x29, x30, [sp], 32 
ret 


この 場合 の コー ド フ ロー は 、CMP/BNE (Branch if Not Equal) 命令 の ペア を 使用 し て 分 岐 
し ます 。 


MIPS 


Listing 1.84: 最適 化 GCC 4.4.5 (IDA) 


.text:004006A0 main: 
.text:004006A0 


.text:004006A0 var 18 = -0x18 

.text:004006A0 var 10 - -0x10 

.text:004006A0 var 4 = -4 

. text: 004006A0 

. text: 004006A0 lui $gp, 0x42 
.text:004006A4 addiu $sp, -0x28 
.text:004006A8 li $gp, 0x418960 
.text:004006AC SW $ra, Ox28+var 4($SD) 
. text : 004006B0 SW $gp, Ox28+var 18($sp) 
. text: 004006B4 la $t9, puts 


. text: 004006B8 lui $a0, 0x40 
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.text:004006BC jatr $t9 ; puts 

. text: 004006C0 la $a0, aEnterX # "Enter X:" 

. text: 004006C4 lw $gp, 9x28+var 18($sp) 

.text:004006C8 lui $a0, 0x40 

.text:004006CC la $t9, — isoc99 scanf 

.text:004006D0 la $a0, aD # "Sd" 

.text:004006D4 jatr $t9 ; isoc99 scanf 

.text:004006D8 addiu $al, $sp, Ox28+var 10 # branch delay slot 

.text:004006DC li $v1, 1 

.text:004006E0 lw $gp, 0x28«var 18($sp) 

. text: 004006E4 beq $v0, $v1, loc 40070C 

. text: 004006E8 or gat, $zero # branch delay slot, NOP 

.text:004006EC la $t9, puts 

.text:004006F0 lui $a0, 0x40 

.text:004006F4 jatr $t9 ; puts 

. text: 004006F8 la $a0, aWhatYouEntered # “What you entered? 

っ n 

text: 004006FC lw $га, Ox28+var 4($sp) 

.text:00400700 move $vO, $zero 

.text:00400704 jr $ra 

.text:00400708 addiu $sp, 0x28 

.text:0040070C loc 40070C: 

.text:0040070C la $t9, printf 

.text:00400710 lw $al, Ox28+var 10($sp) 

.text:00400714 lui $a0, 0x40 

.text:00400718 jatr $t9 ; printf 

.text:0040071C la фаб, aYouEnteredD £ "You entered 
%d...\n" 

text: 00400720 lw $га, Ox28+var 4($sp) 

.text:00400724 move $vO, $zero 

.text:00400728 jr $ra 

.text:0040072C addiu $sp, 0x28 


scanf() ) は 、 そ の 作業 の 結果 を レジ スタ $VO に 返し ます 。 ア ドレ ス 0x004006E4 は 、$VO 
の 値 と $V1 (1 は $V1 以前 の 0x004006DC に 格納 され て いま す ) と 比較 する こと で チェ 
ッ ク さ れ ま す 。BEQ は 「Branch Equal」 の 略 で す 。2 つ の 値 が 等 し い 場 合 (すなわち 、 成 
功 し た 場合 )、 ア ドレ ス 0x0040070C に ジャ ンプ し ます 。 


練習 問題 
見 て きた よう に 、JNE/JNZ 命令 は JE/JZ 命令 に 簡単 に 置き 換え る こと が で きま す (BNE 
by BEQ また は その 逆 )。 し か し 、 基 本 ブロ ッ ク も 入れ 替え る 必要 が あり ます 。 い くつ か の 
例 で これ を 試し て くだ さい 。 
第 1.9.5 節 練習 問題 

• http://challenges. re/53 
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第 1.10 節 渡さ れ た 引数 に アク セス する 


さて 、caller 関 数 が 引数 を callee 側 に スタ ッ ク 経 貼 で 渡し て いる こと が 分 か り ま し た 。 し か 
し 、callee 関 数 は どう や っ て 引数 に アク セス する の で し ょ うか ? 


Listing 1.85: simple example 


#include <stdio.h> 


int f (int a, int b, int c) 


{ 
return a*b+c; 

}; 

int main() 

{ 
printf ("sdXn", f(1, 2, 3)); 
return 0; 

}; 

第 1.10.1 節 x86 

MSVC 


コン パイ ル し て 得 ら れる も の を 次 に 示し ます (MSVC 2010 Express), 
Listing 1.86: MSVC 2010 Express 


TEXT | SEGMENT 


a$ = 8 ; Size = 4 

_b$ = 12 ; Size = 4 

_c$ = 16 ; size = 4 

_f PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _a$[ebp] 
imul eax, DWORD PTR _b$[ebp] 
add eax, DWORD PTR c$[ebp] 
pop ebp 
ret 0 

f ENDP 

main PROC 
push ebp 


mov ebp, esp 
push з; 3 番目 の 引数 
push 2 : 2 番目 の 引数 
push 1 : 1 番目 の 引数 


call _f 
add esp, 12 
push eax 


push OFFSET $SG2463 ; '%d', бан, 00H 
call _ printf 
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add esp, 8 
; 0 を リタ ー ン 
xor eax, eax 
pop ebp 
ret 0 
main ENDP 


main( ) 関数 は 3 つの 数 値 を スタ ッ ク に プッ シュ し 、f(int,int,int) を 呼び 出す こと が 
わか り ま す 。 


f() 内 の 引数 アク セス は 、 ロ ー カ ル 変 数 と 同じ 方 法 で a$ = 8 の よう な マク ロ の 助け を 
借り て 構成 され ます が 、 正 の オフ セッ ト (プラ ス で 扱わ れ ま す ) を 持ち ます 。 し た が っ て 、 
_a$ マク ロ を ЕВР レジ スタ の 値 に 追加 する こと に よっ て stack frame の 外側 を 処理 し て い 
ます 。 


次 に 、a DIED EAX に 格納 され ます 。 IMUL 命令 実行 後 、EAX の 値 は EAX の 値 と b の 内 
容 の 積 で す 。 


その 後 、ADD は c の 値 を EAX に 追加 し ます 。 


EAX の 値 は 移動 する 必要 は あり ませ ん 。 す で に 存在 し て いる 必要 が あり ます 。 caller に 戻 
る と 、EAX 値 を と り 、printf( ) の 引数 と し て 使用 し ます 。 


MSVC + OllyDbg 


これ を OllyDbg で 説明 し まし ょ う 。 最初 の 引数 (最初 の 引数 ) を 使用 する f() の 最初 の 
命令 を トレ ー ス する と 、EBP が 赤い 四角 で マー ク さ れ た stack frame を 指し て いる こと が 
わか り ま す 。 


stack frame の 最初 の 要素 は EBP の セー ブ さ れ た 値 で あり 、2 番 目 の 要 素 は RA で あり 、3 番 
目 の 要素 は 最初 の 関数 の 引数 で あり 、2 番 目 と 3 番目 の 要素 で す 。 


最初 の 関数 引数 に アク セス する に は 、EBP に ちょ うど 8 (2 つの 32 ビ ッ ト ワ ー ド ) を 追加 す 
る 必要 が あり ます 。 


OllyDbg は これ を 知っ て いる の で 、 
[RETURN from] や 「Arg1 = .……」 な どの スタ ッ ク 要 素 に コメ ント を 追加 し まし た 。 


注意 : 関数 の 引数 は 、 関 数 の スタ ッ ク フ レー ム の メン バー で は な く 、 む し ろ caller 関 数 の 
スタ ッ ク フ レー ム の メン バー で す 。 


し た が っ て 、OllyDbg は 別 の スタ ッ ク フ レー ム の メン バー と し て ГА] 要素 を マー ク し 
まし た 。 


HOU EBP, ESP  — 
MOU EAX, DWORD PTR SS: САБ. 1] келер 
IMUL EAX, DWORD PTR 55: CARG.2] «4 QA22DCFS 
ADD EAX, DWORD PTR SS:[HRG.3] 2 EFD に OO 

ЕВР gg4EFD5C 
gg4EFD5C 


y o o о of] 


MOU EBP,ESP 
PUSH 3 

PUSH 2 

PUSH 1 

CALL 96201966 
ADD ESP, ØC 


962016863 86201863 


5 gg Bt FFFFFFFF) 
g(FFFFFFFF 
t G@(FFFFFFFF) 
BtFFFFFFFF) 
vEFDDaaatFFF) 
at FFFFFFFF) 


HO で ロロ ヤマ 
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Stack [gg4EFH64]=1 
EAX=66192886 


Ё a 


Tob D 


r^ c 


оо 


1.23: OllyDbg: inside of f ( ) function 


GCC 
GCC 4.4.1 で 同じ も の を コン パイ ル し 、IDA の 結果 を 見 て み ま し ょ う 。 
Listing 1.87: GCC 4.4.1 
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CPU - main thread, module ex = [mi x] 
~ 


public f 
f proc near 


arg 0 = dword ptr 8 


arg 4 = dword ptr ӨСһ 

arg 8 = dword ptr 10h 
push ebp 
mov ebp, esp 
mov eax, [ebptarg 0] ; 1 番目 の 引数 
imul eax, [ebp+arg 4] ; 2 番目 の 引数 
add eax, [ebptarg 8] : 3 番目 の 引数 
pop ebp 
retn 

f endp 
public main 

main proc near 


var_10 = dword ptr -10h 


var C = dword ptr -0Ch 
var 8 = dword ptr -8 
push ebp 
mov ebp, esp 


and esp, OFFFFFFFOh 
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sub esp, 10h 
mov [esp+10h+var 8], 3 : 3 番目 の 引数 
mov [esp+10h+var C], 2 : 2 番目 の 引数 
mov [esp+10h+var 10], 1; 1 番目 の 引数 
call f 
mov edx, offset aD ; “%d\n" 
mov [esp+10h+var C], eax 
mov [esp+10h+var 10], edx 
call _printf 
mov eax, 0 
leave 
retn 
main endp 


結果 は ほぼ 同じ で 、 以 前 に 説明 し た いく つか の 小さ な 違い が あり ます 。 
スタ ッ ク ポ イン タ は 2 つの 関数 呼び 出し (f と printf) の 後に セッ トバ ッ ク さ れ ま せん 。 最後 
か ら 2 番 目 の LEAVE 命令 (?? on page ??) 命令 が 最後 に これ を 処理 する た めで す 。 
第 1.10.2 節 x64 
この 話 は x86-64 で は 少し 違っ て いま す 。 関数 の 引数 (最初 の 4 つま た は 最初 の 6 つ ) は レジ 
スタ に 渡さ れ ま す 。 つ まり 、callee は レジ スタ か ら レ ジス タ を 読み 込み ます 。 
MSVC 
最適 化 MSVC: 
Listing 1.88: 最適 化 MSVC 2012 x64 


$SG2997 DB 'sd', OaH, OOH 
main PROC 
sub rsp, 40 
mov edx, 2 
lea r8d, QWORD PTR [rdx+1] ; R8D=3 
lea ecx, QWORD PTR [rdx-1] ; ECX=1 
call f 
lea rcx, OFFSET FLAT:$SG2997 ; '%d' 
mov edx, eax 
call printf 
xor eax, eax 
add rsp, 40 
ret 0 


main ENDP 


f PROC 
; ECX - 1 番目 の 引数 
; EDX - 2 番目 の 引数 
; R8D - 3 番目 の 引数 
imul ecx, edx 
lea eax, DWORD PTR [r8+rcx] 
ret 0 
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|f ENDP 


見 て わか る よう に 、 コ ン パ クト な 関数 f() は すべ て の 引数 を レジ スタ か ら 取 り ま す 。 


ここ で の LEA 命令 は 加算 に 使用 され 、 明 ら か に コン パイ ラ は ADD より も 速い と 考え まし 


た 。 


LEA は 、 第 1 お よび 第 3 の f() 引数 を 準備 する た め に main( ) 関数 で も 使用 され ます 。 コ 
ン パ イラ は 、MOV 命令 を 使用 し て レジ スタ に 値 を ロー ド す る 通常 の 方 法 よ り も 速く 動作 す 
る と 判断 する 必要 が あり ます 。 


非 最適 化 MSVC の 出力 を 見 て み ま し ょ う 。 


Listing 1.89: MSVC 2012 x64 


f proc near 

; シャ ドー スペ ー ス 

arg_0 = dword ptr 8 

arg_8 = dword ptr 10h 

arg_10 = dword ptr 18h 
; ECX - 1 番目 の 引数 
; EDX - 2 番目 の 引数 
; R8D - 3 番目 の 引数 
mov [rsp+arg 10], r8d 
mov [rsptarg 8], edx 
mov [rsptarg 0], ecx 
mov eax, [rsp«arg 0] 
imul eax, [rsp«arg 8] 
add eax, [rsp+arg 10] 
retn 

f endp 

main proc near 
sub rsp, 28h 
mov r8d, 3 ; 3 番目 の 引数 
mov edx, 2; 2 番目 の 引数 
mov ecx, 1; 1 番目 の 引数 
call f 
mov edx, eax 
lea rcx, $SG2931 ; "%dNn" 
call printf 
; 0 を リタ ー ン 
xor eax, eax 
add rsp, 28h 
retn 

main endp 


レジ スタ か ら の 3 つの 引数 は 何ら か の 理由 で スタ ッ ク に 保存 され る た め 、 や や こし いこ と 


に な っ て いま す 。 
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これ は "シャ ドウ スペ ー ス "と 呼ば れ ま す 。 80 すべ て の Win64 は 、 そ こ に ある 4 つの レジ ス 
タ 値 を すべ て 保存 する こと が で きま す (必須 で は あり ませ ん )。 これ は 2 つの 理由 で 行わ れ 
ます 。1) 入力 引数 に レジ スタ 全体 (また は 4 つの レジ スタ ) を 割り 当て る の は あま り に も 
殴 沢 な の で 、 ス タッ ク 経 由 で アク セス され ます 。 2) デバ ッ ガ は ブレ ー ク で 関数 の 引数 を ど 
こ に 見 つけ る か 常に 認識 し て いま す 。91 


だ か ら 、 大 規模 な 関数 の 中 に は 、 実 行 中 に それ ら を 使用 し た い 場 合 、 入 力 引 数 を 「 シ ャ ド 
ウス ペー ス 」 に 保存 する こと が で きま す が 、 私 た ちの よう な 小さ な 関数 で は そう で な いか 
も し れ ま せん 。 


スタ ッ ク に 「 シ ャ ドウ スペ ー ス 」 を 割り 当て る の は caller の 責任 で す 。 


GCC 
最適 化 GCC は まあ まあ わか りや すい コー ド を 生成 し ます 。 
Listing 1.90: 最適 化 GCC 4.4.6 x64 


f: 
; EDI - 1 番目 の 引数 
; ESI - 2 番目 の 引数 
; EDX - 3 番目 の 引数 
imul esi, edi 
lea eax, [rdx+rsi] 
ret 
main: 
sub rsp, 8 
mov edx, 3 
mov esi, 2 
mov edi, 1 
call f 
mov edi, OFFSET FLAT:.LCO ; "%d\n" 
mov esi, eax 
xor eax, eax ; 渡さ れ た ベク トル レジ スタ の 数 
call printf 
xor eax, eax 
add rsp, 8 
ret 


非 最適 化 GCC: 
Listing 1.91: GCC 4.4.6 x64 


f: 

; ЕРТ - 1 番目 の 引数 

; ESI - 2 番目 の 引数 

; EDX - 3 番目 の 引数 

push rbp 

mov rbp, rsp 

mov DWORD PTR [rbp-4], edi 
80MSDN 
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mov DWORD PTR [rbp-8], esi 
mov DWORD PTR [rbp-12], edx 
mov eax, DWORD PTR [rbp-4] 
imul eax, DWORD PTR [rbp-8] 
add eax, DWORD PTR [rbp-12] 
leave 
ret 

main: 
push rbp 
mov rbp, rsp 
mov edx, 3 
mov esi, 2 
mov edi, 1 
call f 
mov edx, eax 
mov eax, OFFSET FLAT:.LC0 ; "%d\n" 
mov esi, edx 
mov rdi, rax 
mov eax, 9 : 渡さ れ た ベク トル レジ スタ の 数 
call printf 
mov eax, 0 
leave 
ret 


System V *NIX ([Michael Matz, Jan Hubicka, Andreas Jaeger, Mark Mitchell, System 
V Application Binary Interface. AMD64 Architecture Processor Supplement, (2013)] 
82) に は 「 シ ャ ドー スペ ー ス 」 の 要件 は あり ませ ん が 、callee は レジ スタ が 不足 し て いる 場 
合 に は 引数 を どこ か に 保存 し ます 。 


GCC: int の 代わ り の uint64 t 


私 た ちの 例 は 32 ビ ッ ト int で 動作 する た め 、32 ビ ッ ト の レジ スタ が 使用 され て いま す (E-H 
前 に 付い て いま す )。 


64 ビ ッ ト 値 を 使用 する た め に は 少し 変更 する 必要 が あり ます 。 


#include <stdio.h> 
#include <stdint.h> 


uint64 t f (uint64 t a, uint64 t b, uint64 t c) 


{ 
return a*b+c; 
}; 
int main() 
{ 


printf ("%lldNn", #(0х1122334455667788, 
0x1111111122222222, 
0x3333333344444444)); 
return 0; 


82p| F で 利用 可能 https://software.intel.com/sites/default/files/article/402129/ 
mpx- Linux64-abi. pdf 
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}; 
Listing 1.92: 最適 化 GCC 4.4.6 x64 
f proc near 
imul rsi, rdi 
lea rax, [rdx+rs1 ] 
retn 
f endp 
main proc near 
sub rsp, 8 
mov rdx, 3333333344444444h : 3 番目 の 引数 
mov rsi, 1111111122222222h : 2 番目 の 引数 
mov rdi, 1122334455667788h ; 1 番目 の 引数 
call f 
mov edi, offset format ; "%lld\n" 
mov rsi, rax 
xor eax, eax ; 渡さ れ た ベク トル レジ スタ の 数 
call _printf 
xor eax, eax 
add rsp, 8 
retn 
main endp 


コー ド は 同じ で す が 、 今 回 は フル サイ ズ の レジ スタ (R- が 前 に 付い て いま す ) が 使用 され 


第 1.10.3 節 ARM 

非 最適 化 Keil 6/2013 (ARM モ ー ド ) 

.text:000000A4 00 30 AO El MOV R3, RO 
.text:000000A8 93 21 20 EO MLA RO, R3, R1, R2 
.text:000000AC 1E FF 2F E1 BX LR 
.text:000000B0 main 

.text:000000B0 10 40 2D E9 STMFD SP!, {R4,LR} 
.text:000000B4 03 20 AO E3 MOV R2, #3 
.text:000000B8 02 10 АО ЕЗ MOV R1, 42 
.text:000000BC 01 00 AO E3 MOV RO, #1 
.text:000000CO F7 FF FF EB BL f 
.text:000000C4 00 40 AO El MOV R4, RO 
.text:000000C8 04 10 AO E1 MOV R1, R4 
.text:000000CC 5A OF 8F E2 ADR RO, aD 0 ; "%dNn" 
.text:000000D0 ЕЗ 18 00 EB BL . 2printf 
.text:000000D4 00 00 AO E3 MOV RO, #0 
.text:000000D8 10 80 BD E8 LDMFD SP!, {R4,PC} 


main() 関数 は 他 の 2 つの 関数 を 呼び 出し 、3 つ の 値 が 最初 の 関数 に 渡さ れ ま す (f() )。 


前 述 の よう に 、ARM で は 最初 の 4 つの 値 が 通常 最初 の 4 つの レジ スタ (R6-R3 ) に 渡さ れ ま 
す 。 
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f() 関数 は 、 最 初 の 3 つの レジ スタ (В0-В2) を 引数 と し て 使用 し ます 。 


MLA (Multiply Accumulate) 命令 は 最初 の 2 つの オペ ラン ド (АЗ と R1) を 乗算 し 、3 番 
目 の オ ペラ ンド (В) を 積 に 加算 し 、 そ の 結果 を ゼロ 関数 (RO) に 格納 し ます 。 


一 度 に 乗算 と 加算 を 同時 に 行う の (Fused multiply?add) は 非常 に 便利 な 操作 で す 。 と こ 
ZT, SIMD に FMA 命 令 が 登場 する 前 に 、x86 に その よう な 命令 は あり ませ ん で し た 。 


最初 の MOV ВЗ, RO 命令 は 明らか に 冗長 で す (ここ で は 単 一 の MLA 命令 を 代わ り に 使用 
で きま す )。 こ れ は 最適 化 さ れ な い コ ン パ イル で ある た め 、 コ ン パ イラ は は 最適 化し て いま せ 
ん 。 


BX 命令 は 、 制 御 を LR レジ スタ に 格納 され て いる アド レス に 戻し 、 必 要 に 応じ て プロ セッ 
サモ ー ド を Thumb か ら ARM に 、 ま た は その 逆 に 切り 替え ます 。 これ は 、 関 数 f( ) が どの 
よう な 種類 の コー ド (ARM ま た は Thumb) か ら 認 識 さ れ て いな いた め 、 必 要 な 場合 が あり 
ます 。 し た が っ て 、Thumb コ ー ド か ら 呼 び 出 され た 場合 、BX は 呼び 出し 元 の 関数 に 制御 
を 戻す だ け で な く 、 プ ロ セ ッ サ ー モ ー ド を Thumb に 切り 替え ます 。ARM コ ー ド ([ARM(R) 
Architecture Reference Manual, ARMv7-A and ARMv7-R edition, (2012)A2.3.2]) か ら 
関数 が 呼び 出さ れ て いる か どう か を 切り 替え ます 。 


最適 化 Keil 6/2013 (ARM モ ー ド ) 


. text: 00000098 f 
.text:00000098 91 20 20 EO MLA RO, R1, RO, R2 
.text:0000009C 1E FF 2F El BX LR 


Keil コ ン パ イラ に よっ て 完全 最適 化 モ ー ド (-03 ) で コン パイ ル さ れ た ft( ) 関数 が あり ま 
す 。 


MOV 命令 は 最適 化 さ れ (また は 縮小 され )、MLA は すべ て の 入力 レジ スタ を 使用 し 、 結 果 を 
RO に 配置 し ます 。 


最適 化 Keil 6/2013 (Thumb モ ー ド ) 


.text:0000005E 48 43 MULS RO, R1 
.text:00000060 80 18 ADDS RO, RO, R2 
.text:00000062 70 47 BX LR 


Thumb モ ー ド で は MLA 命令 を 使用 で き な い た め 、 コ ン パ イラ は これ ら 2 つ の 演算 (乗算 と 
加算 ) を 別々 に 実行 する コー ド を 生成 し ます 。 


最初 に 、MULS 命令 は RO に RI を 掛け て 、 結 果 を レジ スタ RO に 残し ます 。 2 番目 の 命令 
(ADDS) は 結果 と R2 を 加算 し て 結果 を レジ スタ RQ に 残し ます 。 


ARM64 
最適 化 GCC (Linaro) 4.9 


83wikipedia 
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ここ で の すべ て は 簡単 で す 。 MADD は 乗算 / 加 算 を 一 緒 に 行う 命令 で す (既に 見 た МА に 似 
て いま す )。3 つ の 引数 は すべ て 、X レ ジス タ の 32 ビ ッ ト 部 分 に 渡さ れ ま す 。 実際 、 引 数 の 
型 は 32 ビ ッ ト int CF. 結果 は WO に 返さ れ ま す 。 


Listing 1.93: 最適 化 GCC (Linaro) 4.9 


f: 
madd w0, wO, wl, w2 
ret 
main: 
; FP と LR を スタ ッ ク フ レー ム に 保存 
stp x29, x30, [sp, -16]! 
mov w2, 3 
mov w1, 2 
add x29, sp, Ө 
mov w0, 1 
bl f 
mov wl, wO 
adrp x0, .LC7 
add х0, x0, :1012:.LC7 
bl printf 
; 0 を リタ ー ン 
mov w0, 0 
; FP と LR を 元 に 戻す 
tdp x29, x30, [sp], 16 
ret 
.LC7: 


.・String "%d\n" 


すべ て の デー タ 型 を 64 ビ ッ ト uint64 t に 拡張 し て テス ト し まし ょ う : 


#include <stdio.h> 
#include <stdint.h> 


utnt64 t f (uint64 t a, uint64 t b, uint64 t c) 


1 
return a*b+c; 
int main() 
1 
printf ("%lldNn", #(0х1122334455667788, 
0x1111111122222222, 
0x3333333344444444)) ; 
return 0; 
}; 
f: 
madd x0, x0, x1, x2 
ret 
main: 


mov x1, 13396 
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adrp x0, .LC8 


stp x29, x30, [sp, -16]! 
movk x1, 0х2740, tst 16 
add х0, x0, :1012:.LC8 
movk x1, 0x122, lsl 32 
add x29, sp, 0 

movk х1, 0x58be, 151 48 
bl printf 

mov w0, 0 

tdp x29, x30, [sp], 16 
ret 


.LC8: 
.string "%lld\n" 


f() 関数 は 同じ で 、64 ビ ッ ト の X レ ジス タ 全 体 が 使用 され ます 。 長い 64 ビ ッ ト の 値 は 、 レ 
ジス タ ご と に ロー ド さ れ ま す 。 こ れ に つい て は 、 以 下 で 説明 し ます : 1.30.3 on page 537 


非 最 適 化 GCC (Linaro) 4.9 


非 最適 化 コ ン パ イラ は より 冗長 で す 。 


f: 
sub sp, sp, #16 
str w0, [sp,12] 
str w1, [sp,8] 
str w2, [sp,4] 


tdr м1, [sp,12] 
ldr w0, [sp,8] 


mul м1, wl, wO 
ldr w0, [sp,4] 
add w0, м1, wO 
add sp, sp, 16 
ret 


コー ド は 、 こ の 関数 の 誰か (また は 何 か ) が WO. . .W2 レジ スタ を 使用 する 必要 が ある 場合 
に 、 そ の 入力 引数 を ロー カル スタ ッ ク に 保存 し ます 。 こ れ に より 、 元 の 関数 の 引数 を 上 書 
きす る こと が 防止 され ます 。 こ れ は 、 将 来 必要 に な る 可能 性 が あり ます 。 


これ は 、 レ ジス タ セ ー ブ エ リア と 呼ば れ ま す 。[Procegu/e Call Standard for the ARM 
64-bit Architecture (AArch64), (2013)]8*. し か し 、 呼 び 出 し 先 関数 は それ ら を 保存 する 
義務 は あり ませ ん 。 こ れ は 、「 シ ャ ドー スペ ー ス 」(1.10.2 on page 126) に 多少 似 て いま 
+ 


GCC 4.9 を 最適 化す る と 、 な ぜ こ の 引数 は コー ド を 保存 し な く な っ た の で し ょ うか ? こ れ 
は いく つか の 追加 の 最適 化 作業 を 行い 、 関 数 の 引数 が この 先 に 必要 で は な く 、 レ ジス タ 
W0...W2 が 使用 され な いと 結論 付け た た めで す 。 

また 、 単 一 の MADD の 代わ り に MUL/ADD 命令 ペア が あり ます 。 


84 以 下 で 利用 可能 http://infocenter.arm.com/help/topic/com.arm.doc.ihi0055b/IHI0055B _ 
aapcs64. pdf 
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第 1.10.4 節 MIPS 


Listing 1.94: 最適 化 GCC 4.4.5 


.text:00000000 f: 


; $a0=a 

; $al=b 

; $a2=c 

.text:00000000 mult $al, $a0 

.text:00000004 mflo $v0 

.text:00000008 jr $ra 

.text:0000000C addu $v0, $a2, $у0 ; 分 岐 遅 延 ス ロッ ト 


; 戻り 値 は $v0 に 格納 され る 
.text:00000010 main: 
.text:00000010 


.text:00000010 var 10 - -0x10 

.text:00000010 var 4 = -4 

.text:00000010 

.text:00000010 lui $gp, ( gnu local gp >> 16) 
.text:00000014 addiu  $sp, -0x20 

. text: 00000018 la $gp, ( gnu local gp & OxFFFF) 
.text:0000001C sw $га, Ox20+var 4($SD) 

. text: 00000020 sw $gp, Ox20+var 10($sp) 

; て を 設定 

.text:00000024 li $a2, 3 

; a を 設定 

.text:00000028 li $a0, 1 

.text:0000002C jal f 

; b を 設定 

. text: 00000030 li $al, 2 ; 分 岐 遅 延 ス ロッ ト 
; 結果 は $0622 

.text:00000034 lw $gp, Ox20+var 10($sp) 
.text:00000038 lui $a0, ($LCO >> 16) 

.text:0000003C lw $t9, (printf & OxFFFF) ($gp) 

. text: 00000040 la $a0, ($LCO & OxFFFF ) 
.text:00000044 jalr $t9 

; take result of f() 関数 の 結果 を 取得 し printf( ) の 2 番目 の 引数 に 渡す 
.text:00000048 move $al, $v0 ; 分 岐 遅 延 ス ロッ ト 
. text: 0000004C lw $га, Ox20+var 4($SD) 

. text: 00000050 move $v0, $zero 

. text: 00000054 jr $га 

.text:00000058 addiu  $sp, 0x20 ; 分 岐 遅 延 ス ロッ ト 


最初 の 4 つの 関数 引数 は 、A- が 前 に 付い た 4 つの レジ スタ に 渡さ れ ま す 。 


MIPS に は 、HI と LO の 2 つの 特殊 レジ スタ が あり 、MULT 命令 の 実行 中 に 乗算 の 64 ビ ッ ト 結 
果 が 格納 され ます 。 


これ ら の レジ スタ は 、MFLO お よび MFHI 命令 を 使用 する こと に よっ て の み ア クセ ス で き 
ます 。 こ こ で は MFLO は 乗算 結果 の 低 部 分 を と り 、 そ れ を $V0 に 格納 し ます 。 そ の た め 、 
乗算 結果 の 上 位 32 ビ ッ ト 部 分 が 削除 され ます (HI レジ スタ の 内 容 は 使用 され ませ ん )。 確 
か に 、 こ こ で は 32 ビ ッ ト の int デー タ 型 を 扱い ます 。 


最後 に 、ADDU (「Add Unsigned」) は 3 番目 の 引数 の 値 を 結果 に 加え ます 。 
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MIPS に は 、ADD と ADDU の 2 種類 の 加算 命令 が あり ます 。 そ れ ら の 違い は 、 署 名 性 に 関連 
する も の で は な く 、 例 外 に 対す る も の で す 。ADD で は 、 オ ー バ ー フ ロー に 関す る 例外 が 発 
生 す る こと が あり ます 。 こ れ は 、 た と えば Ada PL で 有用 85 で あり 、 サ ポー ト さ れる こと も 
あり ます 。ADDU は 、 オ ー バ ー フ ロー 時 に 例外 を 発生 させ ませ ん 。 


C/C++ で は これ を サポ ー ト し て いな いた め 、 こ の 例 で は ADD の 代わ り に ADDU が 表示 さ 
れ て いま す 。 


32 ビ ッ ト の 結果 は $VO に 残り ます 。 
main( ) に 新しい 命令 が あり ます (JAL ( [Jump and Link」))。 


JAL と JALR の 違い は 、 相 対 オ フ セ ッ ト が 最初 の 命令 で エン コー ド さ れる 一 方 、JALR は 
レジ スタ に 格納 され た 絶対 アド レス に ジャ ンプ する こと で す (「 ジ ャ ンプ レジ スタ と リン 
クレ ジス タ 」)。 


f( ) と main( ) の 両方 の 関数 は 同じ オブ ジェ クト ファ イル に 配置 され る の で 、f( ) の 相対 
アド レス は 既知 で 固定 され て いま す 。 


第 1.11 節 戻り 値 を 返す こと の 詳細 


x86 で は 、 関 数 の 実行 結果 は 通常 EAX レジ スタ に 返さ れ ま す 。86 バイ ト タ イ プ ま た は 文字 
(char ) の 場合 は 、 レ ジス タ EAX (AL) の 最 下位 部 分 が 使用 され ます 。 関 数 が 浮動 小数 点 
数 を 返す 場合 、 代 わり に FPU レ ジス タ ST(6) が 使用 され ます 。ARM で は 、 結 果 は 通常 RO 
レジ スタ に 返さ れ ま す 。 


第 1.11.1 節 vojg を 返す 関数 の 結果 を 使っ て みる 


で は 、main( ) 関数 の 戻り 値 が int 型 で は な く void 型 で ある と 宣言 され た 場合 は どう で し 
ょ うか ?② い わ ゆ る スタ ー ト アッ プ コ ー ド は 、 以 下 の よ うに main( ) を 呼び 出し て いま す 。 


push envp 
push argv 
push argc 
call main 
push eax 
call exit 


exit (main(argc,argv,envp) ) : 


main() を void と し て 宣言 する と 、 明示 的 に (return 文 を 使っ て ) 何 も 返 され ず 、 main() 
の 最後 の EAX レジ スタ に 格納 され た 何 か が exit() の 唯一 の 引数 に な り ま す 。 お そら く 、 あ 
な た の 関数 の 実行 か ら 放 棄 さ れる ラン ダム な 値 が ある で し ょ う 。 し た が っ て 、 プ ログ ラム 
の 終了 コー ド は 疑似 乱数 で す 。 


この 事実 を 説明 する こと が で きま す 。 こ こ で main( ) 関数 は void 戻り 値 の 型 を 持っ て い 
る こと に 注意 し て くだ さい 。 


85http://blog.regehr.org/archives/1154 
862: 88: MSDN: Return Values (C++): MSDN 
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#include <stdio.h> 


void main() 


{ 
}; 


printf ("Hello, world!\n"); 


Linux で コン パイ ル し まし ょ う 。 


GCC 4.8.1 で は 、bprintf( ) を puts( ) に 置き 換え まし た が (以下 で 見 て きま し た : 1.5.3 
on page 27)、 こ れ は printf() の よう に puts( ) が 出力 する 文字 数 を 返す の で 、 こ れ は 
問題 あり ませ ん 。main( ) が 終了 する 前 に БАХ が ゼロ に な っ て いな いこ と に 注意 し て くだ 
さい 。 

これ は 、main( ) の 最後 の EAX DIER puts( ) が 残し た 値 が 含ま れ て いる こと を 意味 し ま 


° 


Listing 1.95: GCC 4.8.1 


.LC0: 

.string "Hello, world!" 
main: 

push ebp 

mov ebp, esp 

and esp, -16 

sub esp, 16 

mov DWORD PTR [esp], OFFSET FLAT: .LCO 

call puts 

leave 

ret 


終了 ステ ー タ ス を 示す bash ス クリ プ ト を 書い て み ま し ょ う 。 
Listing 1.96: tst.sh 


#!/bin/sh 
./hello world 
echo $? 


実行 し て み ま し ょ う 。 


$ tst.sh 
Hello, world! 
14 


14 は 表示 され た 文字 数 で す 。 印刷 され る 文字 の 数 は 、printf( ) か ら EAX/RAX まで の [ exit 
code] へ の スリ ッ プ で す 。 


ちな み に 、Hex-Rays で C++ を 逆 コ ン パ イル する と 、 あ る クラ ス の デス トラ クタ で 終了 す 
る 関数 に 遭遇 する こと が よく あり ます 。 


call ??1CString@@QAE@XZ ; CString:: CString(void) 
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mov ecx, [esp+30h+var C] 
pop edi 

pop ebx 

mov large fs:0, ecx 

add esp, 28h 

retn 


C++ 標 準 で は 、 デ スト ラク タ は 何 も 返 し ませ ん が 、Hex-Rays が それ を 知ら ず 、 デ スト ラ 
クタ と この 関数 の 両方 が int を 返す と 考え る と 、 次 の よう な 出力 が 出力 され ます 。 


return CString: :~CString(&Str) ; 


第 1.11.2 節 関数 の 戻り 値 を 使わ な か いと どう な る ? 


printf( ) は 正常 に 出力 され た 文字 の 数 を 返し ます が 、 実 際 に は この 関数 の 結果 は めった 
に 使用 され ませ ん 。 


また 、 値 を 返す 関数 を 呼び 出し 、 戻 り 値 を 使用 し な いと いう こと も 可能 で す 。 


int f() 
{ 
// 最初 の 3 つの ラン ダム 値 を スキ ッ プ する 
rand( ) : 
rand( ) : 
Frand( ) : 


// 4 番目 を 使用 する 
return rand( ) ; 


}; 


rand() 関数 の 結果 は EAX の 4 つの ケー ス す べ て に 残さ れ て いま す 。 
し か し 、 最 初 の 3 つの ケー ス で は 、EAX の 値 は 使用 され て いま せん 。 


第 1.11.3 節 構造 体 を 返す 

戻り 値 が EAX レジ スタ に 残っ て いる と いう 事実 に 戻り まし ょ う 。 

その た め 、 古 い C コ ン パ イラ で は 、1 つ の レジ スタ (通常 は int) に 収まら な いも の を 返す 
関数 を 作成 する こと は で きま せん が 、 必 要 な ら 、 関 数 の 引数 と し て 渡さ れ た ポイ ンタ を 介 
し て 情報 を 返す 必要 が あり ます 。 

し た が っ て 、 通 常 、 関 数 が 複数 の 値 を 返す 必要 が ある 場合 は 、1 つ だ け を 返し 、 残 り の すべ 
て の ポイ ンタ を 返し ます 。 

構造 全体 を 返す こと が 可能 に な っ て いま す が 、 そ れ は まだ あま り 一 般 的 で は あり ませ ん 。 
関数 が 大 き な 構 造 体 を 返さ な けれ ば な ら な い 場 合 、 呼 び 出 し 側 は それ を 割り 当て て ポイ ン 
タ を 最初 の 引数 を 介し て プロ グラ マ に 透過 的 に 渡す 必要 が あり ます 。 これ は 、 最 初 の 引数 
に 手動 で ポイ ンタ を 渡す の と ほぼ 同じ で す が 、 コ ン パ イラ は それ を 隠し ます 。 

小さ な 例 
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struct s 
{ 
int a; 
int b; 
int c; 
}; 
struct s get some values (int а) 
{ 
struct s rt; 
rt.a=a+1; 
rt.b=a+2; 
rt.c=a+3; 
return rt; 
}; 


… 以 下 の コ ー ド が 出力 され ます (MSVC 2010 /0x): 


$T3853 = 8 ; size = 4 
_а$ = 12 ; size = 4 
?get some values@@YA?AUS@@H@Z PRO ; get some values 
mov ecx, DWORD PTR a$[esp-4] 
mov eax, DWORD PTR $T3853[esp-4] 
lea edx, DWORD PTR [ecx+1] 
mov DWORD РТК [еах], едх 
lea edx, DWORD PTR [ecx+2] 
add ecx, 3 
mov DWORD PTR [eax+4], edx 
mov DWORD РТК [еах+8], ecx 
ret 0 
?get some values@@YA?AUs@@H@Z ENDP ; get some values 


構造 体 へ の ポイ ンタ の 内 部 渡し の マク ロ 名 は $T3853 C$. 
この 例 は 、C99 言 語 拡張 を 使用 し て 書き 直す こと が で きま す 。 


struct s 
{ 
int a; 
int b; 
int c; 
}; 
struct s get some values (int а) 
{ 
return (struct s){.a=a+1, .b=a+2, .c=a+3}; 
}; 


Listing 1.97: ССС 4.8.1 


get some values proc near 
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ptr to struct = dword ptr 4 

a = dword ptr 8 
mov edx, [espta] 
mov eax, [esp+ptr_to struct] 
lea ecx, [ейх+1] 
mov [eax], ecx 
lea ecx, [edx+2] 
add edx, 3 
mov [еах+4], ecx 
mov [eax+8], edx 
retn 

get some values endp 


この 関数 は 、 あ た か も 構造 体 へ の ポイ ンタ が 渡さ れ た か の よう に 、 呼 び 出し 元 関数 に よっ 
て 割り 当て られ た 構造 体 の フィ ー ル ド を 埋め る だ け で す 。 し た が っ て 、 パ フォ ー マ ン ス 上 
の 欠点 は あり ませ ん 。 


51.128554 74 
第 1.12.1 節 戻り 値 


ポイ ンタ ー は 関数 か ら 値 を 返す た め に よく 使用 され ます (scanf( ) 関数 の 呼び 出し (1.9 
on page 84) )。 


た と えば 、 関 数 が 2 つの 値 を 返す 必要 が ある 場合 な ど で す 。 


グロ ー バ ル 変 数 の 例 


#include <stdio.h> 


void fl (int x, int y, int *sum, int *product) 
{ 
*sum=x+y; 
*product=x*y; 
}; 


int sum, product; 
void main() 
f1(123, 456, &sum, &product); 


printf ("sum=%d, product=%dNn", sum, product); 
}; 


次 の よう に コン パイ ル さ れ ま す 。 
Listing 1.98: 最適 化 MSVC 2010 (/Ob0) 


| comm _ product: DWORD 
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COMM 


_x$ 
_y$ 


8 
12 


_ sum: DWORD 
$5G2803 DB 


_sum$ = 16 


_product$ = 20 


_11 


_11 


_та1п 


_та1п 


PROC 
mov 
mov 
lea 
imul 
mov 
push 
mov 
mov 
mov 
pop 
ret 
ENDP 


PROC 
push 
push 
push 
push 
call 
mov 
mov 
push 
push 
push 
call 
add 
xor 
ret 
ENDP 


'Sum=%d, product=%d', бан, OOH 


; size = 
; size 
; size 
; size 


+ + + + 


ecx, DWORD РТА y$[esp-4] 
eax, DWORD PTR x$[esp-4] 
edx, DWORD PTR [eax+ecx] 
eax, ecx 

ecx, DWORD PTR _product$[esp-4] 
esi 

esi, DWORD PTR _sum$[esp] 
DWORD PTR [esi], edx 
DWORD PTR [ecx], eax 

esi 

0 


OFFSET _product 


OFFSET sum 

456 ; 000001c8H 
123 ; 0000007bH 
fl 


eax, DWORD PTR _product 
ecx, DWORD PTR _sum 
eax 

ecx 

OFFSET $SG2803 

DWORD РТА _ imp printf 
esp, 28 

eax, eax 

0 
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OllyDbg で 見 て み ま し ょ う 。 


CPU - main thread, module global 


68 89339700 
68 


6A 7B 
ES CHFFFFFF 


51 
68 


Stack [993gFBEg]=g1 
Imm=000001C8 (decima 


4 8n 
FE FF FF FF 
1 


PUSH OFFSET 00873388 

PUSH OFFSET 00873384 

PUSH 1C8 

PUSH 7B 

CALL 00871000 

MOU ERX,DWORD PTR 05: (873383) 


Al 38339700 
Звао 24222600 MOU ECX, DWORD PTR 05: (873384) 
5a PUSH EAX 


PUSH ECX 
PUSH OFFSET 00873000 


88308700 
FF15 Hg2gSg CALL DWORD PTR 05: (<&MSUCR1GG.printf>] 


ADD ESP, 1с 
XOR EAX, EAX 
RETN 


6F 64 
FF FF 
ER E 


6E494714 A 


8000090000 
8000090000 
80308F8E4 
8030F92C 
9000009091 
00873390 


> 00871029 


I "ШЕ" 


global. 


> O(FFFFFFFF) 

t BLFFFFFFFF) 

: BLFFFFFFFF) 
g(FFFFFFFF) 
ァ EFDDggg(FFF) 
g(FFFFFFFF) 


RETURN from glob. 
ASCII "pHF” 


1.24: OllyDbg: グロ ー バ ル 変 数 の アド レス は f1() に 渡さ れ ま す 


まず 、 グ ロー バル 変数 の アド レス が f1( ) に 渡さ れ ま す 。 スタック 要素 に 「Follow in dump] 
を クリ ッ ク す る と 、2 つ の 変数 に 割り 当て られ た デー タ セ グ メ ント 内 の 場所 を 見 る こと が 


で きま す 。 


141 


これ ら の 変数 は 、 初 期 化 さ れ て いな い デ ー タ (BSS か ら ) が 実行 開始 前 に クリ ア さ れる た 
め 、 ゼ ロ に され ます 。[see ISO/IEC 9899:7C3 (C C99 standard), (2007) 6.7.8p10] 
それ ら は デー タ セ グ メ ント に あり 、Alt-M を 押し て メモ リマ ッ プ を 確認 する こと で 確認 で 
きま す 。 


Memory map [ml x! 


Address i Section | Contains 
0800050000 


C:NWindowssSustem32sloc 


Stack of main thread 
Heap 


a Default heap 
00870000 global PE header 
00871000 global „test Code Img 


R22>>zZgZ2Z2ZZ22Z> 
€ttttt € 


00872000 global .rdata Imports Img 

00873000 aac 08 global „data Data Img 

00874000 global .reloc Relocations Img |R 

6E3E ロ ロロ MSUCR100 PE header Img |R 

6E3E1000| aaap2aaa| MSUCR100 etext Code, imports, exports Ina |R 

6E493000| 00006900 | HSUCR190 «data Data Img R 

6E499 ロ | 0090001000  HSUCR100 .rSrc Resources Ina |R 

6E49R000 | aaaacaaa| HSUCR190 .reloc Re locat ions Img |R 

75500000| 64061906) Mod 7550 PE header Img |R 

75501000| 00003000 Img |R E 

75504000| 00001000 Ima | RW RWE Cop: 
75505000| aaaasana Img |R RWE Сор 
755E0000| 00001000| Mod_755E PE header Img |R RWE Cop: 
755E1000| 00040000 Img |R E RWE Сор 
7562E000| ロロ 5 ロロ Ima | RW Cops RWE Cop 
75633000 00009000 Img |R RWE Cop: 


1.25: OllyDbg: X メモ リマ ッ プ 
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f1() の 先頭 に を トレ ー ス (F7) し まし ょ う 。 


DU | : c 
MOU EAX, DWORD PTR SS:CARG.1] ae 
LEA EDX, LECK*ERX1 SCIT "HET 
IMUL EAX, ECX pu | 
884024 10 | MOU ECK; ,DWORD PTR SS:[HRG.4] 
8B7424 19 | MOU ESI,DUORD PTR SS:[RR6.31 
91 MOU DWORD PTR 05: [ESI],EDX 
MOU DWORD PTR 05: СЕСХ1,ЕЯХ 
POP ESI 


g(FFFFFFFF) 
BL FFFFFFFF) 
t B(FFFFFFFF) 
t B(FFFFFFFF) 

t "EFDDBBBLFFF) 
jit B(FFFFFFFF) 


Stack EEEE =096091C8 Тасетта! 456.) 
ЕСХ=6Е494714 (HMSUCR100.__initenu) 
Local call from 871831 


ооо ЕЕ T ロロ ロマ > 


RETURN from glob. 
ASCII "pNF” 


1.26: OllyDbg: f1( ) が 開始 


2 つの 値 が スタ ッ ク 456 (06x1C8) と 123 (0x7B) に 表示 され 、2 つ の グロ ー バ ル 変 数 の ア 
ドレ ス も 表示 され ます 。 
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f1() の 終わ り ま で トレ ー ス し まし ょ う 。 左下 の ウィ ンド ウ で 、 計 算 結 果 が グロ ー バ ル 変 
数 に どの よう に 表示 され る か を 確認 し ます 。 


CPU - main thread, module global = [nl | 
- 


BB4C24 BB |HOU ECX, DWORD PTR 5 
MOU EAX, DWORD PTR 
LEA EDX, LECK+EAX] 
THUL EAX, ECK 
MOU ECX, DWORD PTR SS:LRR6.41 
PUSH ЕЗЇ 
UE pt mien: | 

: , c AD kzi 

MOU DWORD PTR DS: СЕСХЈ, EAX : global Baers 
POP ESI 


а global. йа 
ВЕТ! ° global.0037101B 


: B(FFFFFFFF) 
4 g(FFFFFFFF) 
а it B(FFFFFFFF) 


о-о 


t B(FFFFFFFF) 
t EFDggg(FFF) 
t BLFFFFFFFF) 
т gggggggg ERROR SUCCES 
PE, GE, G) 


Top of stack LOBGSOFSD4 
ESI-alobal.00873384 


mo o ¿Y 


RETURN from glob 


п 
m/ESm/ES 


RETURN from glob 
ASCII ”pNF” 


1.27: OllyDbg: f1() 実行 完了 


144 
グロ ー バ ル 変 数 の 値 は 、( ス タッ ク を 介し て ) printf() に 渡す 準備 が 整っ た レジ スタ に ロ 
ー ド され ます 。 


CPU - main thread, module global = D| | 
^^ 


OFFSET 00873388 
TTET 00873384 


68 24239700 
68 C9010000 


6A 7B 76 
ЕВ CHFFFFFF | CHLL 00871000 
ñi 88338799 | OU EAX,DWORD PTR DS: [8733881 EErEE 
84338Co NOU ECX, DUORD PTR DS: [8733841 E 


PUSH " 
PUSH ЕСХ р › 00871041 global. HA! 
PUSH OFFSET 00873000 Fc 4 
| bit B(FFFFFFFF) 
CALL DWORD PTR DS:[ く SHSUCR19g。px intf>] bit B(FFFFFFFF) 


ADD ESP,1C bit @(FFFFFFFF) 
XOR EAX, EAX bit g(FFFFFFFF) 


5 E bit ?EFDDaaatFFF) 
Stack [OBSOFSDSI-global.B8871086 it Ӯ 
EAX=6000DB18 (decimal 56888.) bit B(FFFFFFFF) 


O-OormDTO 


m 
"n 
re 


RETURN from glob. 
hNF | ASCII "pHF” 


5] 1.28: OllyDbg: グロ ー バ ル 変 数 の 値 は printf() に 渡さ れ ま す 


ロー カル 変数 の 例 
私 た ちの 例 を 少し 修正 し まし ょ う 。 


Listing 1.99: now the sum and product variables are local 


void main() 


t 
int sum, product; // 変数 は 関数 ロー カル に あり ます 
f1(123, 456, &sum, &product); 
printf ("sum=%d, product=%dNn", sum, product); 
}; 


f1() コー ド は 変更 され ませ ん 。main( ) の コー ド だ けが 行い ます : 
Listing 1.100: 最適 化 MSVC 2010 (/Ob0) 


_product$ = -8 ; Size = 4 

_sum$ = -4 ; size = 4 

main PROC 

; Line 10 
sub esp, 8 

; Line 13 
lea eax, DWORD PTR _product$[esp+8] 
push eax 
lea ecx, DWORD PTR _sum$[esp+12] 
push ecx 


push 456 ; 000001c8H 
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push 123 ; 0000007bH 
call _11 

; Line 14 
mov edx, DWORD PTR _product$[esp+24] 
mov eax, DWORD PTR _sum$[esp+24] 
push edx 
push eax 


push OFFSET $SG2803 
call DWORD PTR imp printf 


; Line 15 
xor eax, eax 
add esp, 36 


ret 0 
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OllyDbg を も う 一 度 見 て み ま し ょ う 。 ス タッ ク 内 の ロー カル 変数 の アド レス は 0x2EF854 
and OX2EF858 で す 。 こ れ ら が スタ ッ ク に どの よう に プッ シュ され る の か を 確認 し ます 。 


— 

gg4DCDFS 

СА T — 
LER EAX, CLOCAL 0] T 

¿ SP gg2EFB5g 

PUSH EAX gg2EFB98 

@йййайй1 

ロロ ロロ 


99H6192B Local.ggH6192B 
OPEET goa MA EIC 
o ME ^i 202: a ) 
МР. SHSUCR1 18.printf? 3 SS 002 @(ЕЕЕЕЕЕЕЕ} 
di ] it B(FFFFFFFF) 
? ァ EFDDggg(FFF ) 


cil: 2 > i 
Stack ([OG2EFS4C i < 3 - B(FFFFFFFF) 


ЕЯХ=002ЕҒ858 
LastErr 0000900000 ERROR SUCCESS 
00000202 (NO,NB,NE,R,NS,PO, GE, G) 


aaonesara 


7 : : ° 
80R63090| 00 a8 7 ロ ^ AC 
HG 中 9 中 | aa go An OC an Я : е 5| ag2EF8GC 


1.29: OllyDbg: ロー カル 変数 の アド レス が スタ ッ ク に プッ シュ され る 
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f1() が 開始 し ます 。 今 の と ころ 0x2EF854 and 6x2EF858 の スタ ッ ク に ラン ダム な ゴミ 


こけ が あり ます 。 


CPU - main thread, module local 


8B4424 0С 

56 ESI 

8B7424 08 MOV ESI,DWORD PTR SS:CARG.1] 
LEA ECX, ГЕОХ+ЕЅІ1 
IMUL ESI,EDX 
MOU DWORD PTR 05: CEAXI,ECX 
MOU EAX, DWORD PTR 55: CARG.4] 
MOV DWORD PTR 05: CEAXI,ESI 
POP ESI 


RETN 

INTS 

INTS 

INTS 

SUB ESP, 8 
зра B FAX D 
48]-G888801C8 (decimal 456 


а 2 
gg2EFS49 
002ЕЕ898 
0000000901 
8080000000 


' Bane1088 


[== УЕ» ы, [е] 
OocoooooGo 


LastErr 
EFL 00000202 


а 


AA2EF844 


local. 


S2bit 
32bit 
32bit 
32bit 
32bit 
32bit 


96A6 1086 


g(FFFFFFFF) 
g(FFFFFFFF) 
BLFFFFFFFF) 
BLFFFFFFFF) 
?EFDDggg(FFF} 
BLFFFFFFFF) 


66660066 ERROR SUCCESS 
t NO, NB, NE, A, NS, PO, GE, G) 


00000001| Ө 
00861257 
9600061) © 
@@409Е88 
aa4DCDFS 


1.30: OllyDbg: f1() 開始 
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f1() OS 


CPU - main thread, module local = [nmi xi 


aR61801B 

3 FFFFFFFF) 

at FFFFFFFF) 

3(FFFFFFFF 
Bg(FFFFFFFF} 
TEFDDaaatFFF) 
g(FFFFFFFF} 


Top of stack て 682EFS3C]= 
EST=ggggDB18 (decimal 22688.) 


IO4ONDVO 


1.31: OllyDbg: f1() 実行 完了 


ここ で 、 ア ドレ ス 0х2ЕЕ854 and Ox2EF858 に OxDB18 と 0x243 が 見 つか り ま す 。 こ れ 
ら の 値 は f1( ) の 結果 で す 。 

結論 

f1() は 、 メ モリ 内 の 任意 の 場所 に ポイ ンタ を 返す こと が で きま す 。 


これ は 本 質 的 に ポイ ンタ の 有用 性 で す 。 


と ころ で 、C++ リフ ァ レ ンス は まっ た く 同 じ よ うに 動作 し ます 。 それら の 詳細 に つい て 
lk, (2? on page ??) を 参照 し て くだ さい 。 


第 1.12.2 節 入力 値 の 入れ 替え 
こん な 仕事 を させ て み ま す 


#include <memory.h> 
#include <stdio.h> 


void swap bytes (unsigned char* first, unsigned char* second) 


t 
unsigned char tmp1: 
unsigned char tmp2; 


tmpl=*first; 
tmp2=*second; 


*first=tmp2; 
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*second=tmp1; 


}; 
int main() 
{ 
// 文字 列 を ヒー プ に コピ ー す る の で 、 変 更 す る こと が で きま す 
char *s=strdup("string"); 
// 2 番目 と 3 番目 の 文字 を スワ ッ プ する 
swap bytes (5+1, 5+2); 
printf ("%sNn", s); 
}; 


見 て わか る よう に 、 バ イト は MOVZX を 使用 し て ECX と EBX の 下位 8 ビッ ト 部 分 に ロー 
ド さ れ ま す (これ ら の レジ スタ の 上 位 部 分 が クリ ア さ れ ま す )。 そ の 後 、 バ イト が スワ ッ プ 
バッ ク さ れ ま す 。 


Listing 1.101: Optimizing GCC 5.4 


swap_bytes: 
push ebx 
mov edx, DWORD PTR [esp+8] 
mov eax, DWORD PTR [esp+12] 


movzx ecx, BYTE PTR [edx] 
movzx ebx, BYTE PTR [eax] 


mov BYTE PTR [edx], bl 
mov BYTE PTR [eax], cl 
pop ebx 

ret 


両方 の バイ ト の アド レス は 引数 か ら 取り 出さ れ 、 関 数 の 実行 は EDX と EAX に あり ます 。 


だ か ら 私 た ち は ポ イン タ を 使用 し て いま す 。 恐 らく 、 ポ イン タ な し に この タス ク を 解決 す 
る 良い 方 法 は あり ませ ん 。 


第 1.13 節 GOTO 演 算 子 


GOTO 演 算 子 は 、 一 般 的 に アン チ パ ター ン と みな され ます 。[Edgar Dijkstra, Go To 
Statement Considered Harmful (1968)?7] を 参照 し て くだ さい 。 それ に も か か わら ず 、 t 
れ は 合理 的 に 使用 する こと が で きま す [Donald E. Knuth, Structured Programming with 
go to Statements (1974)99] 9? を 参照 し て くだ さい 。 


ここ に は 非常 に 単純 な 例 が あり ます 。 


#include <stdio.h> 


int main() 


{ 


87http://yurichev.com/mirrors/Dijkstra68.pdf 
88http://yurichev.com/mirrors/KnuthStructuredProgrammingGoTo. pdf 
89[Dennis Yurichev, C/C++ programming language notes] [< に も いく つか 例 が あり ます 
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printf ("beginNn"); 
goto exit; 
printf ("skip me!Nn"); 
exit: 
printf ("endNn"); 
}; 


MSVC 2012 で は は 次 の よう に な り ま す 。 
Listing 1.102: MSVC 2012 


$SG2934 DB 'begin', бан, 00H 
$SG2936 DB 'skip me!', бан, 00H 
$SG2937 DB 'end', бан, 00H 
main PROC 
push ebp 
mov ebp, esp 
push OFFSET $56G2934 ; 'begin' 
call  printf 
add esp, 4 
jmp SHORT $exit$3 
push OFFSET $562936 ; ‘skip me!' 
call | printf 
add esp, 4 
$exit$3: 
push OFFSET $SG2937 ; 'end' 
call | printf 
add esp, 4 
xor eax, eax 
pop ebp 
ret 0 
main ENDP 


goto 文 は 単に IMP 命令 に 置き 換え られ て いま す 。 こ れ は 同じ 効果 が あり ます 。 別 の 場所 
へ の 無 条件 ジャ ンプ で す 。 2 番目 の printf( ) は 、 人 間 の 介入 、 デ バッ ガ の 使用 、 ま た は 
コー ド の パッ チ 適 用 に よっ て の み 実 行 で きま す 。 
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これ は 簡単 な パッ チ の 練習 と し て も 役立ち ます 。Hiew で 結果 の 実行 ファ イル を 開き まし ょ 
Э: 


Hiew: goto.exe 


‘skip me!" 


1.32: Hiew 
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カー ソル を JMP (0x410) に 設定 し 、F3 (編集 ) を 押し 、0 を 2 回 押す と 、 オ ペコ ー ド が 
EB 00 に な り ま す 。 


1.33: Hiew 


JMP オペ コー ド の 第 2 バイ ト は ジャ ンプ の 相対 オフ セッ ト を 示し 、0 は 現在 の 命令 の 直後 の 
ポイ ント を 示し ます 。 


し た が っ て 、JMP は 2 番目 の printf() 呼び 出し を スキ ッ プ し ませ ん 。 
F9 (保存 ) を 押し て 終了 し ます 。 実行 ファ イル を 実行 する と 、 次 の よう に 表示 され ます 。 


Listing 1.103: Patched executable output 


C:\...>goto.exe 


begin 
skip me! 
end 


IMP 命令 を 2 つの NOP 命令 に 置き 換え る こと に よっ て も 同じ 結果 が 得 ら れ ま す 。 


NOP の オペ コー ド は 0x90 で 、 長 さ は 1 バイ ト な の で 、JMP の 代わ り に 2 バイ ト の 命令 Су 
イズ は 2 バイ ト ) が 必要 で す 。 


第 1.13.1 節 デッド コー ド 


2 番目 の printf( ) 呼び 出し は 、 コ ン パ イラ の 用 語 で 「 デ ッ ド コー ド 」 と も 呼ば れ ま す 。 


つま り 、 コ ー ド は 決し て 実行 され ませ ん 。 し た が っ て 、 こ の 例 を 最適 化し て コン パイ ル す 
る と 、 コ ン パ イラ は 痕跡 を 残さ ず に 、「 デ ッ ド コー ド 」 を 削除 し ます 。 


Listing 1.104: 最適 化 MSVC 2012 
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$SG2981 DB 'begin', бан, 00H 
$SG2983 DB ‘skip me!', бан, 00H 
$SG2984 DB 'end', QaH, OOH 
main PROC 

push OFFSET $562981 ; 'begin' 

call | printf 

push OFFSET $562984 ; 'end' 
$exit$4: 

call  printf 

add esp, 8 

xor eax, eax 

ret 0 
main ENDP 


し か し 、 コ ン パ イラ は [skip me!) 文字 列 を 削除 する の を 忘れ て いま し た 。 


第 1.13.2 節 練習 問題 
あな た の 好き な コン パイ ラ と デバ ッ ガ を 使っ て 同じ 結果 を 達成 し て みて くだ さい 。 


第 1.14 節 条件 付き ジャ ンプ 


第 1.14.1 節 シン プル な 例 


#include <stdio.h> 


void f signed (int a, int b) 


1 
if (a>b) 
printf ("a>bNn"); 
if (a==b) 
printf ("a==bNn"); 
if (a«b) 
printf ("a<bNn"); 
Е 
void f_unsigned (unsigned int a, unsigned int b) 
{ 
if (a>b) 
printf ("a>b\n"); 
if (a==b) 
printf ("a==b\n") ; 
if (a<b) 
printf ("a<b\n"); 
}; 
int main() 
{ 


f signed(1, 2); 
f unsigned(1, 2); 
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return 0; 


}; 


х86 
х86 + MSVC 


以下 は 、f signed( ) 関数 が どう な っ て いる か を 示し て いま す 。 
Listing 1.105: 非 最適 化 MSVC 2010 


8$ = 8 
_b$ = 12 
_f signed PROC 
push ebp 
mov ebp, esp 


mov eax, DWORD PTR a$[ebp] 
cmp eax, DWORD PTR _b$[ebp] 
jle SHORT $LN3@f_signed 
push OFFSET $56737 ; 'a>b' 
call printf 
add esp, 4 
$LN3@f_signed: 
mov ecx, DWORD PTR a$[ebp] 
cmp ecx, DWORD PTR _b$[ebp] 
jne SHORT $LN2Gf signed 
push OFFSET $56739 ; 'a==b' 
call printf 
add esp, 4 
$LN2@f_signed: 
mov edx, DWORD PTR a$[ebp] 
cmp edx, DWORD PTR _b$[ebp] 
jge SHORT $LN4@f_signed 
push OFFSET $56741 ; 'a«b' 
call printf 
add esp, 4 
$LN4Gf signed: 
pop ebp 
ret 0 
f signed ENDP 


最初 の 命令 JLE は 、/up if Less or Equal の 場合 は Jump を 表し ます 。 言い 換え れ ば 、 第 2 オ 
ペラ ンド が 第 1 オペ ラン ド よ り 大 きい か 等 し い 場 合 、 制 御 フ ロー は 命令 で 指定 され た アド 
レス また は ラベ ル に 移り ます 。 第 2 オペ ラン ド が 最初 の オペ ラン ド よ り 小 さい た め に この 
条件 が トリ ガ さ れ な い 場 合 、 制 御 フ ロー は 変更 され ず 、 最 初 の printf( ) が 実行 され ます 。 
2 番目 の チェ ッ ク は 、JNE : Jump if Not Equal で す 。 オ ペラ ンド が 等 し い 場 合 、 制 御 フ ロ 


ー は 変更 され ませ ん 。 


3 番目 の チェ ッ ク は 、 最 初 の オペ ラン ド が 2 番目 の オペ ラン ド よ り 大 きい 場合 、 ま た は 等 
し い 場 合 は IGE : Jump if Greater or Equal で す 。 し た が っ て 、3 つ の 条件 ジャ ンプ が す 
べ て トリ ガ さ れ た 場合 、printf( ) の 呼び 出し は まっ た く 実 行 さ れ ま せん 。 これ は 特別 な 
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介入 な し に は 不可 能 で す 。f_unsigned( ) 関数 を 見 て み ま し ょ う 。f unsigned( ) 関数 
は 、 次 の よう に 、JLE お よび IGE の 代わ り に ]jBE お よび AE 命令 が 使用 され る 点 を 除い て 、 
f signed() と 同じ で す 。 


Listing 1.106: GCC 


_а$ = 8 ; Size = 4 
_b$ = 12 ; size = 4 
f unsigned PROC 
push ebp 
mov ebp, esp 


mov eax, DWORD PTR a$[ebp] 
cmp eax, DWORD PTR _b$[ebp] 
jbe SHORT $LN3@f_unsigned 
push OFFSET $SG2761 ; 'a»b' 
call printf 
add esp, 4 

$LN3Gf unsigned: 
mov ecx, DWORD PTR _a$[ebp] 
стр ecx, DWORD PTR _b$[ebp] 
jne SHORT $LN2@f_unsigned 
push OFFSET $SG2763 ; 'a==b' 
call printf 
add esp, 4 

$LN2@f_unsigned: 
mov edx, DWORD PTR _a$[ebp] 
стр edx, DWORD PTR _b$[ebp] 
тае SHORT $LN4@f_unsigned 
push OFFSET $SG2765 ; 'a«b' 
call printf 
add esp, 4 

$LN4Gf unsigned: 
pop ebp 
ret 0 

f unsigned ENDP 


すでに 説明 し た よう に 、 分 岐 命 令 は 異な り ま す 。JBE 一 /ump if Below or Equal and JAE— 
Jump if Above or Equal これ ら の 命令 (ЈА/ЈАЕ/ЈВ/ЈВЕ ) ) は 、JG/JGE/JL/JLE と は 、 符 号 
な し の 数 字 で 動作 する 点 が 異な り ま す 。 


ЈА/ЈВ の 代わ り に JG/JL が 使用 され て いる 場合 や 、 そ の 逆 の 場合 は 、 変 数 が それ ぞ れ 符号 
付き か 、 ま た は 符号 な し な の か が ほぼ は っ きり し ます 。 こ こ に は 、 も う 何 も 新しく な い 、 
main( ) 関数 も あり ます 。 


Listing 1.107: main( ) 


_main PROC 
push ebp 
mov ebp, esp 
push 2 
push 1 
call f signed 
add esp, 8 


push 2 
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push 1 

call _f_unsigned 
add esp, 8 

xor eax, eax 
pop ebp 

ret 0 


main ENDP 
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x86 + MSVC + OllyDbg 


OllyDbg で この 例 を 実行 する と 、 フ ラグ が どの よう に 設定 され て いる か を 見 る こと が で き 
ます 。 符号 な し の 数 値 で 動作 する f unsigned() か ら 始め まし ょ う 。 


CMP は ここ で 3 回 実行 され ます が 、 同 じ 引数 に つい て は フラ グ は 毎回 同じ で す 。 
最初 の 比較 の 結果 は 、 


CPU - main thread, module ex 


MOU EBP,ESP : 

MOU EAX, DWORD PTR SS:LBRG.11 ar 
CHP EAX, DWORD PTR SS: [RR6.21 

JBE SHORT 89181069 


17 MSUCRIBB.6E445617 


12201000 |PUSH OFFSET 001A3018 
5 gozalga Arb ES. jx PTR DS: [<&MSUCR100.printf>] 


MOU ECX, DWORD PTR SS:CARG.11 ай1дз 
СИР ECX, DWORD PTR 55: CARG. 21 


001A1055 


68 20201000 H 193020 A: C aa jit B(FFFFFFFF) 
FF15 8929H9! CALL DUORD PTR DS: [<&MSUCR100.printf>] E ME ӨГЕЕЕЕЕРЕЕ 


、 83C4 04 : jit @(FFFFFFFF) 
> 8B55 98 HO EDK, buono PTR SS: (ARG. 1] : НЕ MCEEEEEEBRE 
Š jit EFDg99(FFF) 


Jump aken s 4 £ 
best=en. 59181069 2 it @(FFFFFFFF) 


RETURN from ex. Gt 


"Му" 


1.34: OllyDbg: f unsigned(): 最初 の 条件 付き ジャ ンプ 


Wot. 24i C=1. P=1. A=1. Z=0. S=1. T=0, D=0, О=0©%, 
これ ら は OllyDbg で は 1 文字 の 略号 で 命名 され て いま す 。 


OllyDbg は 、(JBE ) ジャ ンプ が ト トリ ガー され る こと を 示唆 し て いま す 。 実 際 に 、 イ ン テ ル 
の マニ ュ ア ル (8.1.4 on page 564) を 調べ る と 、CF=1 ま た は ZF=1 の 場合 、」BE が 起動 す 
る こと が わか り ま す 。 条件 は ここ に 当て は まる の で 、 ジ ャ ンプ が 開始 され ます 。 
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次 の 条件 付き ジャ ンプ は 、 


CPU - main thread, module ex 


PUSH EBP 
MOU EBP,ESP 
MOU EAX, DWORD PTR SS:LRRG.11 
CMP EAX, DWORD PTR SS:[ARG.2] 
JBE SHORT 90101069 
8 12201000 | PUSH OFFSET 96183618 Ci, 
FF15 B0201891 CALL OD PTR DS: [<&MSUCR100.printf>] |ЬМ© 
83C4 84 RDD ESP, 
8B4D @8 MOU ECX, DuoRD PTR SS:[RR6.11 
SB4D ac CHP ECX,DWORD PTR 55: CARG.2] 
75 ЙЕ JNE SHORT 001A107F 
PUSH OFFSET 001A3020 


68 20201000 (fs 
FF15 Ba2aiBot CALL DWORD PTR DS:[ く &HSUCR1gg。pr intf>] | brs 
83C4 04 RDD ESP,4 ) 
8B55 98 MOU EDX, DWORD PTR SS: САВВ. 11 IEEEEEEEE 

E 9 UP Бра, DWORD PIE HE Xt 7EFDDGGG( FFF) 
jit GC FFFFFFFF) 


m mmmmmmm mg 


1 an 
FF FF FF FF|FF 
F 


RETURN from єн.й! 
ASCII ”pNy” 


1.35: OllyDbg: f unsigned( ) : 2 番目 の 条件 付き ジャ ンプ 


em は 、JNZ が トリ ガー され る こと を 示唆 し て いま す 。 実際 、ZF=0 (ゼロ フラ グ ) の 
場合 、 JNZ が 起動 し ます 。 
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3 番目 の 条件 付き ジャ ンプ は 、JNB で す 。 


CPU - main thread, module ex 


001810 JBE SHORT gg1H1969 
ñi PUSH OFFSET gg1H3g18 
4 CALL DWORD PTR DS: C<&MSUCR1G@.printf>] 
ADD ESP,4 
MOV ECX,DWORD PTR 55: CARG.1] 
CMP ECX, DWORD PTR 55: CARG.2] 
JNE SHORT 1H1 ロ 7F 
PUSH OFFSET gg1H392g 
CALL DWORD PTR 05: C<&MSUCRIGG. print#>I 
ADD ESP,4 
MOV EDX,DWORD PTR 55: CARG.1] 
СМР EDX,DWORD PTR SS: CARG.2] 
JAE SHORT 00191995 


PUSH OFFSET 00193028 
CALL DWORD PTR 05: [<&MSUCR1G0. printf >] 


RETURN from ex. 0l 
ASCII "pNU” 


1.36: OllyDbg: f unsigned(): 3 番目 の 条件 付き ジャ ンプ 


イン テル の マニ ュ ア ル (8.1.4 on page 564) で は 、CF=0 (キャ リー フラ グ ) の 場合 に 
JNB が 起動 する こと が わか り ま す 。 今回 は 当て は ま ら な い の で 、3 番 目 の printf() が 実 
行 さ れ ま す 。 
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次 に 、OllyDbg с. 符号 付き の 値 で 動作 する f siqgned( ) 関数 を 見 て み ま し ょ う 。 フラ 
グ は 、C=1、P=1、A=1、Z= ニ 0、S=1、 丁 =0、D=0、O=0 と 同様 に 設定 され ます 。 最初 の 
条件 付き ジャ ンプ JLE が 起動 され ます 。 


イン テル マニ ュ ア ル (166 ペ ー ジ の 7.1.4) で は 、ZF = 1 また は SFxOF の 場合 に この 命令 
トリ ガ さ れる こと が わか り ま し た 。SFxOF 私 た ちの 場合 は 、 ジ ャ ンプ が トリ ガ す る よう に 。 


CPU - main thread, module ex =-I ロ | x] 
J ^^ 


РЫН ЕВР 


ЕВР,Е5Р 

HOU EBX! DDRD PTR SS:CARG. 1] 

СМР EAX, DWORD PTR SS:CARG.2] 
HOR A1019 


JLE SHORT 00 
PUSH OFFSET 66183606 
5 B0201R801 og OD PTR DS: [<&MSUCR100.printf >] 


MOU ECX, DWORD PTR SS: CARG.1] 
CHP ECX, m os SS: [ARG. 21 
JNE SHORT 6i = 30181009 
8 02201000 | PUSH OFFSET ЖЕДЕ f ; @(FFFFFFFF) 
FF15 B020180/CRLL DWORD PTR 05: C(<&MSUCR1GG.printf>] G(FFFFFFFF) 
・ 8304 04 ADD ESP,4 G(FFFFFFFF) 
> 8BSS 08 MOU EDX, DWORD PTR SS:CARG. 11 BtFFFFFFFF) 
Е а ЦР Бра, DWORD PIE iLOR EFDDggg(FFF1 
g(FFFFFFFF) 


mmmmmmm mia 


)2 -(O nmi D 0 


RETURN from es. 
RSCII "pHU” 


1.37: OllyDbg: f signed( ) : 最初 の 条件 付き ジャ ンプ 


イン テル マニ ュ ア ル (8.1.4 on page 564) で は 、 ZF=1 ま た は SF ょ OF oe に この 命令 が 
起動 され る こと が わか り ま し た 。 私 た ちの 場合 で は SFOF が 、 ジ ャ ンプ が 起動 され ます 。 
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2 番目 の JNZ 条件 付き ジャ ンプ は ZF=0 の 場合 (ゼロ ・ フ ラグ ) に 起動 し ます 。 


nain thread, module ex 


PUSH EBP 

MOU EBP,ESP 

MOU EAX, DWORD PTR 55: CARG. 1] 

CMP EAX, DWORD PTR SS: CARG.2] 

JLE SHORT 96181619 

PUSH OFFSET 60193008 

E DWORD PTR DS: L4&MSUCR188.printf?1 


ADD ESP,4 
MOU ECX, DWORD PTR SS:IBRG.11 

СМР ECX,DWORD PTR SS:LRRG.21 

JNE SHORT 9g1H1g2F 

PUSH OFFSET 001A3008 

CALL DWORD PTR 05: С<&М50СКіЙӢ. ргіпт# >17 


› 8В55 98 


- ; PEFDDGGG( FFF) 
is taken л it g(FFFFFFFF) 


г 64666606 ERROR SUCCESS 
(NO,B, NE, BE, S, PE, L, LE) 


p 
Dest ニ gi .001A102F 


RETURN from ex.@! 
ASCII "pNU” 


1.38: OllyDbg: f signed(): 2 番目 の 条件 付き ジャ ンプ 
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第 3 の 条件 付き ジャ ンプ IGE は 、SF=OF の 場合 に の み 実 行 さ れる た め 、 起 動 し ませ ん 。 5 
回 は 、 当 て は まり ませ ん 。 


CPU - main thread, module ex 


ce ЙЕ JLE SHORT 001R1019 

8 ロロ 3 ロ 1H | PUSH OFFSET ロロ 1H3 ロ ロロ 

Баттс CALL DUORD PTR DS: CC&MSUCR188.printf>1 
MOV ECX,DWORD PTR SS:[RRG.11 

СМР ECX, DWORD PTR SS:CARG.2] 

JNE SHORT ロロ 1 日 1 ロ 2F 

68 98201999 | PUSH OFFSET gg1H3 ロ 8 | 

FF15 B0201801 CALL DWORD PTR DS:[<&MSUCR100.printf>J 
83C4 04 ADD ESP, 4 

SB55 a8 MOV EDX,DWORD PTR SS:[RRG.11 

3B55 ac CMP EDX,DWORD PTR SS:EtRRG.21 

7D GE JGE SHORT 00191945 


PUSH OFFSET 001R3010 


FFFFFFF) 
FFFFFFF) 
FFFFFFF) 


200 гт mmm Mæ 


68 10201000 
FF15 B0201801 CALL DWORD PTR 05: [<&htSUCR100.printf>1 4 FFFFFFF) 


ロロ 
Jump is not taken EFDDggg(FFF} 
Des. 0191945 


RETURN from ex. 
Hrg1 1 


RETURN from ex. й! 


8 3;й' 
HCU hNU ASCII "pNU” 


1.39: OllyDbg: f signed(): 3 番目 の 条件 付き ジャ ンプ 
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x86 + MSVC + Hiew 


入力 値 に か か わら ず 、f unsigned( ) 関数 が 常に 「a==b」 を 出力 する よう に 、 実行 可能 
ファ イル に パッ チ を 当て る こと が で きま す 。 こ こ で 、Hiew で どの よう に 見 える か 見 て み ま 
し ょ う 。 


1.40: Hiew: f unsigned() 関数 


本 質 的 に は 、 次 の 3 つの タス ク を 実行 する 必要 が あり ます 。 
・ 最初 の ジャ ンプ が 常に 起動 し な けれ ば な ら な い 
・ 2 番目 の ジャ ンプ が 決し て 起動 し て は な ら な い 
・ 3 番目 の ジャ ンプ が 常に ト 起 動 し な けれ ば な ら な い 


し た が っ て 、 コ ー ド フロ ー は 常に 2 番目 の printf( ) を 通過 し 、「a==b」 を 出力 する よう 
に 指示 で きま す 。 


3 つの 命令 (また は バイ ト ) を パッ チ す る 必要 が あり ます 。 
° 最初 の ジャ ンプ は MP に な り ま す が 、jump offset は 同じ まま で す 。 


° 2 回 目 の ジ ャ ンプ が トリ ガ さ れる こと も あり ます が 、 い ずれ に し て も 次 の 命令 に ジャ 
ンプ し ます 。 
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な ぜ な ら 、jump offset を 0 に 設定 し て いる か ら で す 。 こ れ ら の 命令 で は 、 ジ ャ ンプ オ 
フ セ ッ ト が 次 の 命令 の アド レス に 追加 され ます 。 オ フ セ ッ ト が 0 の 場合 、 ジ ャ ンプ は 
制御 を 次 の 命令 に 移し ます 。 

・ 私 た ち が 最 初 の も の と 同様 に JMP を 置き 換え る 3 番目 の ジャ ンプ は 、 常 に 起動 し ま 
Bs 


変更 され た コー ド は 次 の と お り で す 。 


1.41: Hiew: let's modify the f unsigned() function 


これ ら の ジャ ンプ の いずれ か を 変更 する こと が で き な け れ ば 、printf( ) 呼び 出し を 1 回 
だ け 実 行 し た い の で す が 、 何 回 か 実行 する こと に な る で し ょ う 。 


非 最適 化 GCC 


非 最適 化 GCC 4.4.1 は ほとん ど 同 じ コ ー ド を 生成 し ます が 、printf( ) で は な く puts( ) (1.5.3 
on page 27) が 生成 され ます 。 


最適 化 GCC 


実行 され る 度 に フラ グ が 同じ 値 を 持つ 場合 、 鋭 い 読 者 は な ぜ CMP が 何 度 も 実行 され る の か 
と 尋ね る か も し れ ま せん 。 


お そら く 、 最 適 化 さ れ た MSVC で は こう は で きま せん が 、GCC 4.8.1 の 最適 化 は より 深刻 
で す 。 


Listing 1.108: GCC 4.8.1 f signed() 
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f_signed: 
mov eax, DWORD PTR [esp+8] 
cmp DWORD РТА [esp+4], еах 
19 ‚16 
Je .L7 
jge .L1 
mov DWORD PTR [esp+4], OFFSET FLAT:.LC2 ; "a<b" 
jmp puts 
.L6: 
mov DWORD PTR [esp+4], OFFSET FLAT:.LCO ; "a>b" 
jmp puts 
.L1: 
rep ret 
.L7: 
mov DWORD PTR [esp+4], OFFSET FLAT:.LC1 ; "a--b" 
jmp puts 


また 、CALL puts / RETN の 代わ り に ここ に JMP を 入れ て いま す 。 
この 種 の トリ ッ ク は 後 で 説明 し ます : 1.15.1 on page 190 


この 種 の x86 コ ー ド は 、 ま れ で す 。MSVC 2012 の よう に 、 そ の よう な コー ド を 生成 する こ 
と は で きま せん 。 一 方 、 ア セン ブリ 言語 プロ グラ マ は 、Jcc 命令 を 積み 重ね る こと が で き 
る と いう 事実 を 十分 に 認識 し て いま す 。 


だ か ら 、 ど こ か で その よう な 積み 重ね を 見 る と 、 コ ー ド は 手書き の 可能 性 が 高い で す 。 
f unsigned() 関数 は 巧妙 に 短い も の で は あり ませ ん : 
Listing 1.109: GCC 4.8.1 f unsigned() 


f_unsigned: 
push esi 
push ebx 
sub esp, 20 
mov esi, DWORD PTR [esp+32] 
mov ebx, DWORD PTR [esp+36] 
стр esi, ebx 
ja 113 
стр esi, ех ; この 命令 は 削除 する こと が で きま す 
je .L14 
110: 
jb .L15 
add esp, 20 
pop ebx 
pop esi 
ret 
.L15: 
mov DWORD PTR [esp+32], OFFSET FLAT:.LC2 ; “a<b" 
add esp, 20 
pop ebx 
pop esi 
jmp puts 
‚113: 


mov DWORD PTR [esp], OFFSET FLAT:.LCO ; "a>b" 
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.114: 


call 
cmp 
jne 


mov 
add 
pop 
pop 
jmp 


puts 
esi, ebx 
.L10 


DWORD РТА [esp+32] , OFFSET FLAT:.LC1 ; "a==b" 


esp, 20 
ebx 
esi 
puts 


それ に も か か わら ず 、3 つ で は な く 2 つ の CMP 命令 が あり ます 。 
し た が っ て 、GCC 4.8.1 の 最適 化 ア ル ゴ リ ズム は まだ 完璧 で は な いで し ょ う 。 


ARM 


32-bit ARM 


最適 化 Keil 6/2013 (ARM モ ー ド ) 


Listing 1.110: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


000000B8 
000000B8 
000000B8 
000000BC 
000000C0 
000000C4 
000000C8 
000000CC 
000000D0 
000000D4 
000000D8 
000000DC 
000000E0 
000000E4 
000000E8 
000000EC 
000000EC 


EXPORT f signed 

f signed ; CODE XREF: main+C 
70 40 2D E9 STMFD SP!, {R4-R6,LR} 
01 40 AO El MOV R4, R1 
04 00 50 El CMP RO, R4 
00 50 AO El MOV R5, ВО 
1А OE 8F C2 ADRGT RO, aAB ; "а>р\п" 
А1 18 00 CB BLGT _ 2printf 
04 00 55 El CMP R5, R4 
67 ОЕ 8F 02 ADREQ RO, aAB 0 ; "a==b\n" 
9E 18 00 OB BLEQ _ 2printf 
04 00 55 El CMP R5, R4 
70 80 BD A8 LDMGEFD SP!, {R4-R6,PC} 
70 40 BD E8 LDMFD SP!, {R4-R6,LR} 
19 OE 8F E2 ADR RO, aAB 1 ; "a<b\n" 
99 18 00 EA B _ 2printf 


; End of function f signed 


ARM モ ー ド の 多く の 命令 は 、 特 定 の フラ グ が セッ ト さ れ て いる 場合 に の み 実 行 で きま す 。 
例え ば 、 こ れ は 数 字 を 比較 する と き に よく 使用 され ます 。 


例え ば 、ADD 命令 は 実際 に は 内 部 で ADDAL と 名 付け られ 、AL は 常に 、 す な わ ち 常に 


ニニ シーー 


AMT 


する 。 述語 は 、32 ビ ッ ト ARM 命 令 の 4 つの 上 位 ビ ッ ト (条件 フィ ー ル ド ) で エン コー ド さ 
れ ま す 。 無 条 件 ジャ ンプ の B 命令 は 、 実 際 に は 条件 付き で 他 の 条件 ジャ ンプ と 同様 に エン 
コー ド さ れ ま す が 、 条 件 フィ ー ル ド に は AL が あり 、 フ ラグ を 無視 し て 常に 実行 する こと 
を 意味 し ます 。 


ADRGT 命令 は ADR と 同じ よう に 動作 し ます が 、 前 の CMP 命令 が 2 つ (大 きい 方 ) を 比較 
し な が ら 、 他 の 命令 より 大 き な 数 値 の 1 つ を 検出 し た 場合 に の み 実 行 さ れ ま す 。 
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次 の BLGT 命令 は BL と 同じ よう に 動作 し 、 比 較 の 結果 が (より 大 きい ) 場合 に の み 実 行 
され ます 。ADRGT は 文字 列 a>b\n へ の ポイ ンタ を RO に 書き 込み 、BLGT は printf() 
を 呼び 出し ます 。 し た が っ て 、-GT の 後に 続く 命令 は 、RO (a) の 値 が RA ()) OBEY 
大 きい 場合 に の み 実 行 さ れ ま す 。 


ADREQ 命令 と BLEQ 命令 が 順 方 向 に 進み ます 。 そ れ ら は ARE BL の よう に 動作 し ます 
が 、 最 後 の 比較 時 に オペ ラン ド が 等 し い 場 合 に の み 実 行 さ れ ま す 。 printf( ) の 実行 に よ 
っ て フラ グ が 改ざん され た 可能 性 が ある た め 、 別 の CMP が その 前 に 配置 され ます 。 


次 に 、LDMGEFD を 参照 し て くだ さい 。 こ の 命令 は LDMFD3? の よう に 機能 し ます が 、 一 方 の 
値 が 他方 の 値 よ り 大 きい か 等 し い 場 合 に の み 実 行 さ れ ま す 。LDMGEFD SP!, {R4-R6,PC} 
命令 は 関数 エピ ロー グ の よう に 動作 し ます が 、。>=5 ヵ の 場合 に の み ト リガ され 、 そ の 後に 
関数 の 実行 が 終了 し ます 。 


し か し 、 そ の 条件 が 満た され な い 場 合 、 す な わ ち a<b の 場合 、 制 御 フ ロー は 次 の 「LDMFD 
SP!, {R4-R6,LR}」 命 令 に 続き 、 こ れ は も う 1 つ の 関数 エピ ロー グ で す 。 こ の 命令 は 、R4 -R6 
だ け で な く PC! の 代わ り に LR も 登録 され て いる た め 、 関 数 か ら は 戻り ませ ん 。 最後 の 2 つ 
の 命令 は 、 文 字 列 xa<bn> を 唯一 の 引数 と し て printf( ) を 呼び 出し ます 。printf( ) € 
クシ ョ ン (1.8.2 on раде 68) の 関数 の 戻り 値 で は な く 、printf( ) 関数 へ の 無 条 件 ジャ 
ンプ を 調べ まし た 。 

f unsigned は 類似 し て お り 、ADRHT、BLHT、 お よび LDMCSFD 命令 の み が 使 用 され て い 
EF, これら の 述 部 (HI = Unsigned higher, CS = Carry Set (greater than or equal)) 
は 、 前 に 説明 し た も の と 類似 し て いま す 。 


main() 関数 に は そん な に 新しい 点 は あり ませ ん 。 
Listing 1.111: main( ) 


.text:00000128 EXPORT main 
.text:00000128 main 

.text:00000128 10 40 2D E9 STMFD SP!, {R4,LR} 
.text:0000012C 02 10 AO ЕЗ MOV R1, 42 
.text:00000130 01 00 AO ЕЗ MOV RO, #1 
.text:00000134 DF FF FF EB BL f signed 
.text:00000138 02 10 AO ЕЗ MOV R1, #2 
.text:0000013C 01 00 AO ЕЗ MOV RO, #1 
.text:00000140 EA FF FF EB BL f unsigned 
.text:00000144 00 00 AO ЕЗ MOV RO, #0 
.text:00000148 10 80 BD E8 LDMFD SP!, {R4,PC} 
.text:00000148 ; End of function main 


これ は 、ARM モ ー ド で の 条件 付き ジャ ンプ を 取り 除く 方 法 で す 。 
な ぜ こ れ が よい の で し ょ う ? 以 下 を 読ん で くだ さい : ?? on page ?? 


x86 で は 、CMOVcc 命令 以外 は MOV と 同じ で す が 、 通 常 は CMP に よっ て 設定 され た 特定 の 
フラ グ が 設定 され て いる 場合 に の み 実 行 さ れ ま す 。 


最適 化 Keil 6/2013 (Thumb モ ー ド ) 


30LDMFD 
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Listing 1.112: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


. text: 00000072 f_signed ; CODE XREF: main+6 

. text: 00000072 70 B5 PUSH {R4-R6,LR} 

. text: 00000074 ӨС 00 MOVS R4, R1 

. text: 00000076 05 00 MOVS R5, RO 

. text: 00000078 AO 42 CMP RO, R4 

.text:0000007A 02 DD BLE loc 82 

.text:0000007C A4 АО ADR RO, aAB ; “a>b\n" 
.text:0000007E 06 FO B7 F8 BL _ 2printf 

.text:00000082 

.text:00000082 loc 82 ; CODE XREF: f signed+8 
.text:00000082 A5 42 CMP R5, R4 

.text:00000084 02 D1 BNE loc 8C 

.text:00000086 A4 АО ADR RO, aAB 0 ; "a==b\n" 
.text:00000088 06 FO B2 F8 BL _ 2printf 

.text:0000008C 

.text:0000008C loc 8C ; CODE XREF: f signed+12 
.text:0000008C A5 42 CMP R5, R4 

.text:0000008bE 02 DA BGE locret 96 

.text:00000090 АЗ AO ADR RO, aAB 1 ; "а<р\п" 
.text:00000092 06 FO AD F8 BL _ 2printf 

.text:00000096 

.text:00000096 locret 96 ; CODE XREF: f signed+1C 
.text:00000096 70 BD POP {R4-R6,PC} 

. text: 00000096 ; End of function f signed 


Thumb モ ー ド の B 命 令 だ けが 条件 コー ド で 補完 され る た め 、Thumb コ ー ド は より 一 般 的 
に 見 えま す 。 


BLE は 通常 の 条件 ジャ ンプ で あり 、/ess than or Equal の 意味 で す 。BNE は Not Equal の 
意味 で す 。BGE は Greater than or Equal の 意味 で す 。 


f unsigned は 似 て いま す が 、 符 号 な し の 値 を 扱う 際 に は 、BLS (Unsigned lower or same) 
お よび BCS (Carry Set (Greater than or equal)) 命令 し か 使用 され ませ ん 。 


ARM64: 最適 化 GCC (Linaro) 4.9 


Listing 1.113: f signed() 


f_signed: 

; WO=a, Wl=b 
cmp w0, wl 
bgt .L19 ; 大 きけ れ ば (azb) Dik 
beq . L20 ; 等 し けれ ば (a ==b) 分 岐 
рде .L15 ; 大 きい 、 ま た は 等 し けれ ば 分 岐 (a>=b) (不可 能 ) 
; a«b 
adrp x0, .LC11 ; "a«b" 
add x0, x0, :1012:.1С11 
b puts 

.L19: 
adrp x0, .LC9 ; "a»b" 


add x0, x0, :1012:.LC9 
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b puts 
.L15: ; ここ に 来る の は 不可 能 

ret 
.L20: 

adrp x0, .LC10 ; "a--b" 

add х0, x0, :1012:.LC10 

b puts 

Listing 1.114: f unsigned() 

f unsigned: 

stp x29, x30, [sp, -48]! 
; WO=a, Wl=b 

cmp w0, wl 

add x29, sp, 0 

str x19, [sp,16] 

mov w19, м0 

bhi .L25 : 大 きけ れ ば (a>b) Dik 

стр w19, м1 

beq .L26 ‚ 等 し けれ ば (a==b) 分 岐 
.L23: 

bcc .L27 : キャ リー フラ グ が クリ ア さ れ て た ら 分 岐 (小さ けれ ば ) (a«b) 


: 関数 エピ ロー グ 、 こ こ に 来る の は 不可 能 
tdr x19, [sp,16] 


ldp x29, x30, [sp], 48 
ret 
. L27: 
ldr x19, [sp,16] 
adrp x0, .LC11 ; "a<b" 
ldp x29, x30, [sp], 48 
add x0, x0, :lol2:.LC11 
b puts 
.L25: 
adrp x0, .LC9 ; "a>b" 
str x1, [x29,40] 
add x0, x0, :1012:.LC9 
bl puts 
tdr x1, [x29, 40] 
cmp w19, wl 
bne .L23 ; 等 し く な けれ ば 分 岐 
‚126: 
ldr x19, [sp,16] 
adrp х0, .LC10 ; "a--b" 
1ар x29, x30, [sp], 48 
ааа x0, x0, :1012:.1С10 
b puts 


コメ ント は この 本 の 著者 に よっ て 追加 され まし た 。 目立っ た こと は 、 コ ン パ イラ は いく つ 
か の 条件 が まっ た く 不 可能 で ある こと を 認識 し て いな いた め 、 決 し て 実行 で き な い 場所 で 


は デッド コー ド が ある こと で す 。 
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練習 問題 


これ ら の 機能 を サイ ズ が 少な く な る よう に 手動 で 最適 化し 、 新 し い 命 令 を 追加 せ ず に 冗長 
な 命令 を 削除 し て くだ さい 。 


MIPS 


1 つの 特徴 的 な MIPS 機 能 は 、 フ ラグ が 存在 し な いこ と で す 。 明らか に 、 デ ー タ 依存 性 の 分 
析 を 簡素 化す る た め に 行わ れ ま し た 。 


x86 に は SETcc に 似 た 命令 が あり ます 。SLT (「Set on Less Than] 符号 付き バー ジョ 
ン ) と SLTU (符号 な し バー ジョ ン ) で す 。 これら の 命令 は 、 条 件 が 真 で あれ ば 宛先 レジ 
スタ の 値 を 1 に 設定 し 、 そ う で な い 場 合 は 0 に 設定 し ます 。 

宛先 レジ スタ は 、BE0 (「Branch on Equal] ) また は BNE ( [Branch on Not Equal] ) を 
使用 し て チェ ッ ク さ れ 、 ジ ャ ンプ が 発生 する こと が あり ます 。 し た が っ て 、 こ の 命令 ペア 
は 比較 お よび 分 岐 の た め に MIPS で 使用 され な けれ ば な り ま せん 。 最初 に 関数 の 符号 付き バ 
ー ジ ョ ン か ら 始 め ま し ょ う 。 


Listing 1.115: 非 最適 化 GCC 4.4.5 (IDA) 


.text:00000000 f signed: # CODE XREF: main+18 
. text: 00000000 


.text:00000000 var 10 = -0x10 
.text:00000000 var 8 = -8 
.text:00000000 var 4 = -4 
.text:00000000 arg 0 = 0 
.text:00000000 arg 4 = 4 

. text: 00000000 

. text: 00000000 addiu $sp, -0x20 


.text:00000004 SW $ra, Ox20+var 4($SD) 
. text: 00000008 SW $fp, 0х20+уаг_8($5р) 
. text: 0000000C move $fp, $sp 

. text: 00000010 la $gp, __gnu_local_gp 
. text: 00000018 SW $gp, 0x20«var 10($sp) 
; 入力 値 を ロー カル スタ ッ ク に 格納 する 

. text: 0000001C SW $a0, Ox20+arg O($fp) 
.text:00000020 SW $al, 0x20+arg_4($fp) 
; リロ ー ド する 

.text:00000024 lw $v1, 0x20+arg 0($fp) 
. text: 00000028 lw $v0, Ox20+arg 4($fp) 
; $vO-b 

; $v1-a 

.text:0000002C or $at, $zero ; NOP 


; これ は 疑似 命令 で す 。 実 際 は 、"sLt $v0,$v0, $v1" CT. 

; $vO<$vl (b«a) な ら $V0 に 1 が 設定 され 、 そ う で な けれ ば 0 が 設定 され ます 
. text : 00000030 slt $v0, $v1 

: 条件 が 真 で な い 場 合 、toc 5c に ジャ ンプ し ます 。 

: これ は 疑似 命令 で す 。 実 際 は 、"beq $v0,$zero,loc 5с" Cd. 


.text:00000034 bedz $v0, loc 5C 
; "a>b" を 表示 し て 終了 し ます 
. text : 00000038 or $at, $zero ; 分 岐 遅 延 ス ロッ ト 、NOP 


.text:0000003C lui $v0, (unk 230 »» 16) £ "a»b" 
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.text:00000040 
.text:00000044 
.text:00000048 
.text:0000004C 
.text:00000050 
.text:00000054 
.text:00000058 
.text:0000005C 


.text:0000005C loc 5C: 


.text:0000005C 
.text:00000060 
.text:00000064 


; ag==b で ある か どう か を 調べ 、 真 で な けれ ば toc_ 99 に ジャ ンプ し ます 。 


. text: 00000068 
. text: 0000006C 


‚ 条件 が 真 な の で 、"a==b" 


.text:00000070 
.text:00000074 
.text:00000078 
.text:0000007C 
.text:00000080 
.text:00000084 
.text:00000088 
.text:0000008C 
.text:00000090 


.text:00000090 loc 90: 


.text:00000090 
.text:00000094 
.text:00000098 


addiu $аб, $v0, (ипк 230 & OxFFFF) # "a>b" 
lw $v0, (puts & OxFFFF) ( $9D ) 
or $at, $zero ; NOP 
move $t9, $vO 
jalr $t9 
or фаї, $zero ; 分 岐 遅 延 ス ロッ ト 、NOP 
lw $gp, 0x20-var 10($fp) 
# CODE XREF: f signed+34 
lw $v1, 0x20-arg O($fp) 
lw $v0, Ox20+arg 4($fp) 
or $at, $zero ; NOP 
bne $v1, $v0, loc 90 
or $at, $zero ; 分 岐 遅延 スロ ッ ト 、NOP 
を プリ ント し て 終了 する 
lui $v0, (aAB >> 16) # "a--b" 
addiu $a0, $v0, (aAB & OxFFFF) # "a==b" 
lw $v0, (puts & OxFFFF) ($gp) 
or gat, $zero ; NOP 
move $t9, $V0 
jalr $t9 
or gat, $zero ; 分 岐 遅 延 ス ロッ ト 、NOP 
lw $gp, Ox20+var 10($fp) 
# CODE XREF: f signed+68 
lw $v1, 0x20+arg O($fp) 
lw $v0, Ox20+arg 4($fp) 
or gat, $zero ; NOP 


; $vl<$v0 (a <b) か どう か を チェ ッ ク し 、 条 件 が 真 で あれ ば $vV0 を 1 に 設定 する 


.text:0000009C 


$vl, $v0 


; 条件 が 真 で な い 場 合 (すなわち 、$Vv6==6)、Loc_ c8 に ジャ ンプ し ます 


. text: 000000A0 
. text: 000000A4 


loc C8 
$zero ; 分 岐 遅 延 ス ロッ ト 、NOP 


: 条件 が 真 で あれ ば 、"a<b" を プリ ント し て 終了 し ます 


. text: 000000A8 
. text: 000000АС 
. text: 000000B0 
. text: 000000B4 
. text: 000000B8 
. text: 000000BC 
. text: 000000C0 
. text: 000000C4 
. text: 000000C8 


; 3 つの 条件 は すべ て 偽 で し た 。 


.text:000000C8 loc C8: 


f signed+A0 
.text:000000C8 
.text:000000CC 
.text:000000D0 
.text:000000D4 
.text:000000D8 
.text:000000DC 


slt $v0, 
beqz $v0, 
or $at, 
lui $v0, 
addiu $a0, 
lw $v0, 
or gat, 
move $t9, 
jalr $t9 
or gat, 
lw $ор, 
move $sp, 
lw $ra, 
lw $fp, 
addiu $sp, 
jr $ra 
or $at, 


(aAB 0 >> 16) # "а<р" 

$v0, (aAB 0 & OxFFFF) # "a<b" 
(puts & OxFFFF) ($9р) 

$zero ; NOP 

$у0 


$zero ; 分 岐 遅 延 ス ロッ ト 、NOP 
0x20+var 10($fp) 


# CODE XREF: 


$fp 
0x20+var 4($SD) 
0x20+var_8($SD) 
0x20 


$zero : 分 岐 遅 延 ス ロッ ト 、NOP 
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| ・text:666666DC # End of function f signed 


SLT REGO, REGO, REG1 は 、IDA に よっ て 短縮 形式 SLT REGO, REG1 に 縮小 され ます 。 


実際 に は BEQ REG, $ZERO, LABEL の BEQZ 擬似 命令 も あり ます (「Branch if Equal to 
Zero」)。 


符号 な し バー ジョ ン は まっ た く 同 じ で す が 、SLT の 代わ り に SLTU (符号 な し バー ジョ ン 、 
し た が っ て 「U」 と いう 名 前 ) が 使用 され ます 。 


Listing 1.116: 非 最適 化 GCC 4.4.5 (IDA) 


.text:000000E0 f unsigned: # CODE XREF: main+28 
.text:000000E0 


.text:000000E0 var 10 = -0x10 

.text:000000E0 var 8 = -8 

.text:000000E0 var 4 = -4 

.text:000000E0 arg 0 = 0 

.text:000000E0 arg 4 = 4 

.text:000000E0 

.text:000000E0 addiu $sp, -0x20 

.text:000000E4 SW $ra, Ox20+var 4($SD) 

. text: 000000E8 SW $fp, Ox20+var 8($sp) 
.text:000000EC move $fp, $sp 

.text:000000F0 la $gp, | gnu local gp 
.text:000000F8 SW $gp, 0x20«var 10($sp) 
.text:000000FC SW $a0, Ox20+arg O($fp) 
.text:00000100 SW $al, 0x20+arg_4($fp) 
.text:00000104 lw $v1, 0x20+arg O($fp) 
.text:00000108 lw $v0, Ox20+arg 4($fp) 

. text: 0000010C or gat, $zero 

. text: 00000110 sltu $v0, $vl 

.text:00000114 bedz $v0, loc 13C 
.text:00000118 or $at, $zero 

.text:0000011C lui $v0, (unk 230 »» 16) 
.text:00000120 addiu $аб, $v0, (unk 230 & OxFFFF) 
.text:00000124 lw $vO, (puts & OxFFFF) ( $9D ) 
.text:00000128 or $at, $zero 

.text:0000012C move $t9, $v0 

.text:00000130 jatr $t9 

.text:00000134 or $at, $zero 

.text:00000138 lw $gp, Ox26+var 10($fp) 
.text:0000013C 

.text:0000013C loc 13C: # CODE XREF: f unsigned+34 
.text:0000013C lw $v1, 0x20+arg O($fp) 
.text:00000140 lw $v0, Ox20+arg 4($fp) 

. text: 00000144 or gat, $zero 

. text: 00000148 bne $v1, $v0, loc 170 
.text:0000014C or $at, $zero 

.text:00000150 lui $v0, (aAB >> 16) # “a==b" 
.text:00000154 addiu  $a0, $v0, (aAB & OxFFFF) # "a==b" 
.text:00000158 lw $v0, (puts & OxFFFF) ( $9D ) 
.text:0000015C or $at, $zero 


.text:00000160 move $t9, $v0O 
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.text:00000164 jatr $t9 

.text:00000168 or $at, $zero 

.text:0000016C lw $gp, 0x20«var 10($fp) 
.text:00000170 

.text:00000170 loc 170: # CODE XREF: f unsigned+68 
.text:00000170 lw $v1, 0x20+arg O($fp) 

.text:00000174 lw $v0, 0x20+arg_4($fp) 

.text:00000178 or $at, $zero 

.text:0000017C situ $vO, $v1, $v0 

.text:00000180 begz $v0, loc 1A8 

.text:00000184 or $at, $zero 

.text:00000188 lui $v0, (aAB 0 >> 16) # "а<р" 
.text:0000018C addiu $a0, $v0, (aAB 0 & OxFFFF) # “a<b" 
.text:00000190 lw $v0, (puts & OxFFFF) ( $9D ) 
.text:00000194 or $at, $zero 

.text:00000198 move $t9, $V0 

.text:0000019C jatr $t9 

.text:000001A0 or $at, $zero 

.text:000001A4 lw $gp, Ox26+var 10($fp) 
.text:000001A8 

.text:000001A8 loc 1A8: # CODE XREF: f unsigned+A0 
.text:000001A8 move $sp, $fp 

.text:000001AC lw $ra, Ox20+var 4($SD) 

. text: 000001B0 lw $fp, Ox20+var 8($sp) 

. text: 000001B4 addiu $sp, 0x20 

. text: 000001B8 jr $га 

.text:000001BC or $at, $zero 


.text:000001BC # End of function f unsigned 


第 1.14.2 節 絶対 値 の 計算 
簡単 な 関数 の 例 。 


int my abs (int i) 
{ 
if (i«0) 
return -i; 
else 
return i; 


}; 


最適 化 MSVC 
これ は 普通 、 ど の よう に コー ド が 生成 され る の か を 示し た も の で す 。 
Listing 1.117: 最適 化 MSVC 2012 x64 


i$ = 8 
my abs PROC 
; ECX = input 
test ecx, ecx 
; 入力 値 の 待 号 を チェ ッ ク す る 
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: 符号 が 正 の 場合 は NEG 命 令 を スキ ッ プ する 


jns SHORT $LN2@my_abs 
; 値 を 反転 する 
neg ecx 


$LN2@my_abs: 
; EAX に 結果 を 準備 


mov eax, ecx 
ret 0 
my_abs ENDP 


GCC 4.9 は ほとん ど 同 じ で す 。 


最適 化 Keil 6/2013: Thumb モ ー ド 


Listing 1.118: 最適 化 Keil 6/2013: Thumb モ ー ド 


my abs PROC 

CMP r0,#0 
: 入力 値 は ゼロ に 等 し いか ゼロ より 大 きい か 
; RSBS 命 令 を スキ ッ プ する 


BGE |LO.6| 
; 入力 値 を 0 か ら 減 算 す る 
RSBS r0,r0,#0 
|LO.6| 
tr 
ENDP 


ARM に は ネ ゲ ー ト 命令 が な いた め 、Keil コ ン パ イラ は 「 逆 引き 命令 」 を 使用 し ます 。 こ れ 
は 逆 の オペ ラン ド で 減算 する だ け で す 。 
最適 化 Keil 6/2013: ARM モ ー ド 


ARM モ ー ド で は 、 い くつ か の 命令 に 条件 コー ド を 追加 する こと が で きま す 。 そ の た め 、 
Keil コ ン パ イラ は 次 の よう に 処理 し ます 。 


Listing 1.119: 最適 化 Keil 6/2013: ARM モ ー ド 


my abs PROC 
CMP rd ,#0 
; 入力 値 が 9 より 小さ い 場 合 に の み " BI" 命令 を 実行 する 
RSBLT r0,r0,#0 
BX tr 
ENDP 


今度 は 条件 付き ジャ ンプ は あり ませ ん 。 これ は 良い で すね 。 : ?? on page ?? 


非 最適 化 GCC 4.9 (ARM64) 
ARM64 に は 、 否 定 す る た め の 命 令 NEG が あり ます 。 
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Listing 1.120: 最適 化 GCC 4.9 (ARM64) 


my_abs: 

sub sp, sp, #16 

str w0, [sp,12] 

tdr w0, [sp, 12] 
; 入力 値 を WZR レジ スタ の 内 容 と 比較 する 
: (常に ゼロ を 保持 する ) 


стр w0, wzr 
bge .L2 
tdr w0, [sp,12] 
neg w0, wO 
b .L3 
‚12: 
ldr w0, [sp,12] 
.L3: 
add sp, sp, 16 
ret 
MIPS 
Listing 1.121: 最適 化 GCC 4.4.5 (IDA) 
my abs: 


; $a0<9 な ら ジ ャ ンプ : 
bltz $a0, tocret 10 
; AZMé ($a0) を $vV0 に 設定 し て リタ ー ン 


move $v0, $а0 

jr $ra 

or $at, $zero ; branch delay slot, NOP 
locret_10: 
; 入力 値 を 反転 し 、$v0 に 保存 する : 


jr $ra 
; これ は 疑似 谷 令 で す 。 実 際 に は 、"subu $v0,$zero,$a0" ($v0=0-$a0) で す 。 
negu $v0, $a0 


ここ で は BLTZ (「Branch if Less Than Zero」) と いう 新しい 命令 が あり ます 。 

NEGU 擬似 命令 も あり ます 。 こ れ は ゼロ か ら の 減算 だ け で す 。SUBU と NEGU の 両方 の 「U」 
接尾 辞 は 、 整 数 オー バー フロ ー の 場合 に 発生 する 例外 が な いこ と を 意味 し ます 。 
Branchless version? 


この コー ド を 分 岐 が な い バ ー ジ ョ ン に する こと も で きま す 。 こ れ に つい て は 、 後述 の 2? on 
page ?? を 参照 し て くだ さい 。 


第 1.14.3 節 三 項 条 件 演算 子 
C/C++ の 三 項 条件 演算 子 の 構文 は 次 の と お り で す 。 


expression ? expression : expression 
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次 に 例 を 示し ます 。 
const char* f (int a) 
{ 
return a==10 ? "it is ten" : "it is not ten"; 
}; 
х86 


古い コン パイ ラ と 最適 化し て いな い コ ン パ イラ は 、 if/else 文 が 使用 され た か の よう に ア 
セン ブリ コー ド を 生成 し ます 。 


Listing 1.122: 非 最適 化 MSVC 2008 


$SG746 DB ‘it is ten', ӨӨН 
$SG747 DB ‘it is not ten', 00H 
tv65 = -4 ; this will be used as a temporary variable 
_а$ = 8 
f PROC 
push ebp 
mov ebp, esp 
push ecx 
; 入力 値 と 10 を 比較 
cmp DWORD PTR _a$[ebp], 10 
; 同じ で な けれ ば 、$LN3@f に ジャ ンプ 
jne SHORT $LN3@f 
; 文字 列 へ の ポイ ンタ を 一 時 変数 に 保存 
mov DWORD PTR tv65[ebp], OFFSET $SG746 ; ‘it is ten' 
; ex1t に ジャ ンプ 
jmp SHORT $LN4@f 
$LN3@f: 
: 文字 列 へ の ポイ ンタ を 一 時 変数 に 保存 
mov DWORD PTR tv65[ebp], OFFSET $SG747 ; ‘it is not ten' 
$LN4@f: 
; exit Cd, 文字 列 へ の ポイ ンタ を 一 時 変数 か ら EAX に コピ ー 
mov eax, DWORD PTR tv65[ebp] 
mov esp, ebp 
pop ebp 
ret 0 
f ENDP 


Listing 1.123: 最適 化 MSVC 2008 


$SG792 DB 'it is ten', 00Н 
$SG793 DB 'it is not ten', 00Н 
_a$ = 8 ; size = 4 
_f PROC 
; 入力 値 と 10 を 比較 
стр DWORD РТА a$[esp-4], 10 
mov eax, OFFSET $SG792 ; 'it is ten' 


: 同じ な ら $LN4@ef に ジャ ンプ 
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je SHORT $LN4@f 

mov eax, OFFSET $SG793 ; 'it is not ten' 
$LN4@f: 

ret 0 
f ENDP 


新しい コン パイ ラ は より 簡潔 で す 。 
Listing 1.124: 最適 化 MSVC 2012 x64 


$SG1355 DB ‘it is ten', ӨӨН 
$SG1356 DB ‘it is not ten', OOH 
a$ = 8 
f PROC 
; 両方 の 文字 列 の ポイ ンタ を ロー ド す る 
tea rdx, OFFSET FLAT:$SG1355 ; ‘it is ten' 
lea rax, OFFSET FLAT:$SG1356 ; 'it is not ten' 
; 入力 値 と 10 を 比較 
cmp ecx, 10 


: 同じ な ら 、 値 を RDX か ら コ ピー ("it is ten") 
異な る な ら 、 何 も し な い 。 文字 列 へ の ポイ ンタ 
; "it is not ten" は まだ RAX に ある 。 

cmove rax, rdx 

ret 0 
f ENDP 


x86 用 の 最適 化 GCC 4.8% CMOVcc 命令 を 使用 し 、 非 最適 化 GCC 4.8 は 条件 付き ジャ ンプ 
を 使用 し ます 。 


ARM 
ARM モ ー ド 用 の 最適 化 Keil で は 、 条 件 付き 命令 ADRcc を 使い ます 。 
Listing 1.125: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


f PROC 
; 入力 値 と 10 を 比較 
CMP TO ,#0xa 
; 結果 が 同じ か 比較 し 同じ な ら 、"it is ten" 文字 列 へ の ポイ ンタ を R0 に コピ ー 
ADREQ r0,|L0.16| ; "it is ten" 
; 結果 が 同じ か 比較 し 異な る な ら 、"it is not ten" 文字 列 へ の ポイ ンタ を R0 に コピ ー 
ADRNE r0,|L0.28| ; "it is not ten" 
BX tr 
ENDP 
[L0.16| 
DCB "it is ten",0 
[L0.28| 
DCB "it is not ten",0 


手動 で 介入 し な けれ ば 、2 つ の 命令 ADREO と ADRNE を 同じ と き に で 実行 する こと は で き 
ませ ん 。 
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Thumb モ ー ド で は 、 最適 化 Keil は 、 条件 付き フラ グ を サポ ー ト する ロー ド 命 令 が な いた め 、 
条件 付き ジャ ンプ 命令 を 使用 する 必要 が あり ます 。 


Listing 1.126: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


f PROC 
; 入力 値 と 10 を 比較 
CMP r0,#0xa 
; 同じ な ら 、|L0.8| に ジャ ンプ 
BEQ [L0.8| 
ADR r0,|L0.12| ; "it is not ten" 
BX tr 
[L0.8| 
ADR r0,|L0.28| ; "it is ten" 
BX tr 
ENDP 
[L0.12| 
DCB "it is not ten",0 
[L0.28| 
DCB "it is ten",0 
ARM64 


ARM64 の 最適 化 GCC (Linaro) 4.9 で も 、 条 件 付き ジャ ンプ が 使用 され ます 。 
Listing 1.127: 最適 化 GCC (Linaro) 4.9 


f 
cmp x0, 10 
beq 13 ; 等 し けれ ば 分 岐 
adrp х0, .LC1 ; "it is ten" 
add x0, x0, :1012:.LC1 
ret 

„ЕЗ: 
adrp х0, .LCO ; "it is not ten" 
add x0, x0, :1012:.1С0 
ret 

.LC0: 
.string "it is ten" 

.LC1: 


.string "it is not ten" 


これ は 、ARM64 に は 32 ビ ッ ト ARM モ ー ド の ADRcc や x86 の CMOVcc な どの 条件 フラ グ 
を 伴っ た 単純 な ロー ド 命 令 が な いた めで す 。 


し か し 、「Conditional SELect」 命 令 (CSEL)[AA/ Architecture Reference Manual, ARMv8, 
for ARMv8-A architecture profile, (2013)p390, C5.5] を 使用 し て いま す が 、GCC 4.9 で 
は この よう な コー ド の 中 で 使用 する に は 十分 スマ ー ト で は な いよ う で す 。 

MIPS 

残念 な が ら 、MIPS 用 の GCC 4.4.5 は それ ほど スマ ー ト で は あり ませ ん 。 
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Listing 1.128: 最適 化 GCC 4.4.5 (アセ ン ブ リ 出力 ) 


$LCO: 
.ascii "it is not ten\000" 
$LC1: 
„ascii "it is ten\000" 
f: 
li $2,10 # Oxa 
; $a0 と 10 を 比較 し 、 等 し けれ ば 分 岐 
beq $4,$2,$L2 


nop ; branch delay slot 


; "it is not ten" 文字 列 へ の アド レス を $vV0 に 残し つつ リタ ー ン 


lui $2,%hi($LC0) 
j $31 
addiu $2,$2,%lo($LCO) 
$L2: 
; "it is ten" 文字 列 へ の アド レス を $v0 に 残し つつ リタ ー ン 
lui $2,%hi($LC1) 
j $31 


addiu $2,$2,%lo($LC1) 


if/else の 方 法 で 書き 直し まし ょ う 


const char* f (int а) 


{ 
if (a==10) 
return "it is ten"; 
else 
return "it is not ten"; 
}; 


し た 。 
Listing 1.129: 最適 化 GCC 4.8 


興味 深い こと に 、x86 用 の GCC 4.8 の 最適 化 は 、 こ の 場合 に CMOVcc を 使用 する こと も で 
ま 


LCO 
.string "it is ten" 
.LC1: 
.string "it is not ten" 
f: 
.LFBO: 
; 入力 値 と 10 を 比較 
cmp DWORD PTR [esp+4], 10 
mov edx, OFFSET FLAT:.LC1 ; "it is not ten" 
mov eax, OFFSET FLAT:.LC0 ; “it is ten" 


; 比較 結果 が 同じ で な けれ ば 、EDX の 値 を EAX に コピ ー 
; そう で な けれ ば 、 何 も し な い 

cmovne eax, edx 

ret 
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ARM モ ー ド の 最適 化 Keil で は 、 リ スト 1.125 と 同じ コー ド が 生成 され ます 。 

し か し 、MSVC 2012 の 最適 化 は (まだ ) あま り 良 く あ り ま せん 。 

結論 

コン パイ ラ を 最適 化す る と どう し て 条件 付き ジャ ンプ を 取り 除 こ うと する の で し ょ うか ? 
で くだ 


以下 を 読 さい : ?? on page ?? 


第 1.14.4 節 最小 値 と 最大 値 の 取得 


32-bit 
int my_max(int a, int b) 
{ 
if (a>b) 
return a; 
else 
return b; 
}; 
int my_min(int a, int b) 
{ 
if (a<b) 
return a; 
else 
return b; 
}; 
Listing 1.130: 非 最適 化 MSVC 2013 
_а$ = 8 
b$ = 12 
_my min PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR a$[ebp] 
; A と B を 比較 
cmp eax, DWORD PTR _b$[ebp] 
; A が B 以 上 の 場合 に ジャ ンプ する 
jge SHORT $LN2@my_min 
: それ 以外 で は A を EAX に リロ ー ド し て 終了 する 
mov eax, DWORD PTR a$[ebp] 
jmp SHORT $LN3@my_min 
jmp SHORT $LN3@my min : これ は 冗長 な JMP 命 令 
$LN2@my_min: 
; B を リタ ー ン 
mov eax, DWORD РТА _b$[ebp] 
$LN3@my_min: 
pop ebp 
ret 0 


_my_min ENDP 
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ebp 
ebp, esp 
eax, DWORD PTR a$[ebp] 


eax, DWORD PTR _b$[ebp] 


; A が B 以 下 の 場 合 ジ ャ ンプ する 


SHORT $LN2@my_max 


; それ 以外 で は A を EAX に リロ ー ド し て 終了 する 


_а$ = 8 

_b$ = 12 

_ту max PROC 
push 
mov 
mov 

; A と B を 比較 
стр 
jle 
mov 
jmp 
jmp 

$LN2@my_max: 

; B を リタ ー ン 
mov 

$LN3@my_max: 
pop 
ret 

_my_max ENDP 


eax, DWORD PTR _a$[ebp] 
SHORT $LN3@my_max 
SHORT $LN3@my_max : これ は 冗長 な JMP 命 令 


eax, DWORD PTR _b$[ebp] 


ebp 
0 


これ ら の 2 つの 機能 は 条件 ジャ ンプ 命令 で の み 異な り ま す 。 最 初 の 命令 で は IGE ( [Jump 
if Greater or Equal] ) が 使用 され 、2 番 目 の 場 合 は JLE ( [Jump if Less or Equal」) が 
使用 され ます 。 


各 関 数 に は 不 必要 な IMP 命令 が 1 つ あ り ま す が 、 お そら く 誤 っ て 残っ て いま す 。 
分 岐 


Thumb モ ー ド の ARM は 、x86 コ ー ド を 思い 起こ し ます 。 
Listing 1.131: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


my_max PROC 

; RO=A 

; Rl=B 

; A と B を 比較 
CMP rQ, r1 

; A が B よ り 大 きけ れ ば 分 岐 
BGT |LO.6| 

; それ 以外 (A<=B) の 場合 は 、R1(B) を リタ ー ン 
MOVS г0,г1 

|LO.6| 

j ょ リターン 
BX tr 
ENDP 

my min PROC 

; RO=A 

; R1=B 


; A と B を 比較 
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CMP r0,r1 
; A が B よ り 小 さけ れ ば 分 岐 
BLT [L0.14| 
; それ 以外 (A>=B) の 場合 は 、R1(B) を リタ ー ン 
MOVS r0,r1 
|L0.14| 
, リタ ー ン 
BX tr 
ENDP 


関数 は 分 岐 命令 が 異な り ま す 。BGT と BLT C4, ARM モ ー ド で は 条件 付き の 接尾 辞 を 使用 
する こと が で きる た め 、 コ ー ド は 短く な り ま す 。 


MOVcc は 、 条 件 が 満た され た 場合 に の み 実 行 さ れ ま す 。 
Listing 1.132: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


my max PROC 
; RO=A 
; R1=B 
; A と B を 比較 

CMP rO,r1 
B を R0 に 入れ て 、A で は な く B を リタ ー ン 
; A<=B の と き に の み 、 こ の 命令 は 実行 され ます (DEY. LE - Less or Equal) 
; 命令 が 実行 され な い 場 合 (AzB の と き )、A は R9 レ ジス タ に あり ます 。 

MOVLE rO,r1 


BX tr 
ENDP 

my min PROC 

; RO=A 

; R1=B 

; A と B を 比較 
CMP r0,r1 


B を R9 に 入れ て 、A で は な く B を リタ ー ン 

; A>=B の と き に の み 、 こ の 命令 は 実行 され ます (DEY, GE - Greater or Equal) 
: 命令 が 実行 され な い 場 合 (AcB の と き )、A は R9 レ ジス タ に あり ます 。 

MOVGE rO,r1 


最適 化 GCC 4.8.12 MSVC 2013 の 最適 化 で は 、ARM の CMOVcc に 似 た MOVcc 命令 を 使 
用 で きま す 。 


Listing 1.133: 最適 化 MSVC 2013 


my max: 
mov edx, DWORD PTR [esp+4] 
mov eax, DWORD PTR [esp+8] 

; EDX=A 

; EAX=B 

; A と B を 比較 
стр edx, еах 


; A>=B な ら 、A の 値 を EAX に ロー ド 
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, 


それ 以外 (A<B) の 場合 は 、 
cmovge eax, edx 


ret 
my min 
mov edx, DWO 
mov eax, DWO 
; EDX-A 
; EAX-B 
; A と B を 比較 
стр edx, еах 


A<=B な ら 、A の 値 を EAX に ロ 
それ 以外 (АВ) の 場合 は 、 


アイ ドル 命 人 


ab 


RD PTR [esp+4] 
RD PTR [esp+8] 


アイ ドル 命令 


cmovle eax, edx 


ret 


64-bit 


#include <stdint.h> 


int64_t my_max(int64 t 
t 
if (a>b) 
return 
else 
return 


}; 


int64 t my min(int64 t 
t 
if (a<b) 
return 
else 
return 


}; 


а, 


а; 


b; 


a, 


a; 


b; 


int64_t b) 


int64_t b) 


いく つか の 不要 な 値 の シャ ッ フ ル が あり ます が 、 コ ー ド は 理解 で きま す 。 
Listing 1.134: 非 最適 化 GCC 4.9.1 ARM64 


my max: 
sub Sp, Sp, 
str x0, [sp,8] 
str х1, [sp] 
ldr X1, [sp,8] 
ldr x0, [sp] 
cmp x1, x0 
ble .L2 
tdr х0, [sp,8] 
b .L3 

.L2: 


#16 


tdr x0, [sp] 


185 


.L3: 
add sp, sp, 16 
ret 

my min: 
sub sp, sp, £16 
str x0, [sp,8] 
str x1, [sp] 
tdr x1, [sp,8] 
ldr x0, [sp] 
cmp x1, x0 
bge L5 
ldr x0, [sp,8] 
b .L6 

Pa o 
ldr x0, [sp] 

‚16: 
ааа sp, sp, 16 
ret 

分 岐 な し 


スタ ッ ク か ら 関 数 の 引数 を ロー ド す る 必要 は あり ませ ん 。 レ ジス タ に すでに 入っ て いま す 。 
Listing 1.135: 最適 化 GCC 4.9.1 x64 


my max: 
; RDI-A 
; RSI-B 
; A と B を 比較 
cmp rdi, rsi 
; B を 戻り 値 と し て RAX に コピ ー 
mov rax, rsi 


; A>=B の 場合 、A(RDI) を 戻り 値 と し て RAX に コピ ー 
: それ 以外 (A<B) で は 、 ア イド ル 命 令 
cmovge гах, rdi 


ret 
my_min: 
; RDI=A 
; RSI-B 
; A と B を 比較 
стр rdi, rsi 
; B を 戻り 値 と し て RAX に コピ ー 
mov rax, rsi 


; A<=B の 場合 、A(RDI) を 戻り 値 と し て RAX に コピ ー 
: それ 以外 (АВ) で は 、 ア イド ル 命 令 

cmovle rax, rdi 

ret 


MSVC 2013 は ほぼ 同じ で す 。 
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ARM64 に は ARM の MOVcc また は x86 の CMOVcc と 同じ よう に 機能 する CSEL 命令 
り ま す が 、 そ の 名 前 は 「Conditional SELect」 と は 異な り ま す 。 


Listing 1.136: 最適 化 GCC 4.9.1 ARM64 


令 が あ 


my max: 
; X0-A 
; X1-B 
; A と B を 比較 
стр х0, х1 
; X0>=X1 また は A>=B (Greater or Equal) の 場合 、X0(A) を 選択 する 
; A<B の 場合 、X1 (B) を 選択 する 


csel x0, x0, x1, ge 
ret 

my min: 

; X0-A 

; X1-B 

; A と B を 比較 
стр х0, х1 


; ХӨ<=Х1 また は А<=В (Less or Equal) の 場合 、X6(A) を 選択 する 
; A>B の 場合 、X1 (В) を 選択 する 

csel x0, x0, x1, le 

ret 


MIPS 
残念 な が ら 、MIPS 用 の GCC 4.4.5 は あま り 良 く あ り ま せん 。 
Listing 1.137: 最適 化 GCC 4.4.5 (IDA) 


my max: 

; $a1<$a9 な ら 、$v1 に 1 を 設定 し 、 そ れ 以 外 ($a1>$a0) で は クリ ア す る 
slt $v1, $al, $а0 

$v1 が 6( また は $al>$a0) な ら ジ ャ ンプ 
bedz $v1, Locret 10 

; は 分 岐 遅延 スロ ッ ト で す 

; + まけ れ た 場合 に 、$a1 を $v0 に コピ ー 


move $v0, $al 
; 分 岐 は 実行 され ず 、$a0 を $v09 に コピ ー 
move $v0, $а0 
locret_10: 
jr $га 
or $at, $zero ; 分 岐 遅延 スロ ッ ト 、NOP 


; min() 関数 は 同じ で す が 、SLT 命 令 の 入力 オペ ラン ド は スワ ッ プ され ます 
my min: 


slt $v1, $a0, $al 
begz $v1, locret 28 
move $v0, $al 
move $v0, $a0 


locret 28: 
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jr $ra 
or $at, $zero ; branch delay slot, NOP 


分 岐 遅延 スロ ッ ト を 忘れ な いで くだ さい 。 RUO MOVE は BEQZ の 前 に 実行 され 、2 番 目 


の MOVE は 分 岐 が 実行 され な か っ た 場合 に の み 実 行 さ れ ま す 。 


第 1.14.5 節 結論 

x86 

条件 付き ジャ ンプ の 基本 骨格 は 次 の と お り で す 。 
Listing 1.138: x86 


CMP register, register/value 
Jcc true ; cc=condition code 


false: 

比較 結果 が 偽 の 場合 に 実行 され る コー ド . .. 
JMP exit 

true: 

HX 比較 結果 が 真 の 場合 ( に 実行 ご され る コー ド . 
exit: 

ARM 


Listing 1.139: ARM 


CMP register, register/value 
Bcc true ; cc=condition code 


false: 

;... 比較 結果 が 偽 の 場合 に 実行 され る コー ド . 
JMP exit 

true: 

k'a kus 比較 結果 が 真 の 場合 ( に 実行 ご され る コー F. 
exit: 

MIPS 


Listing 1.140: Check for zero 


BEQZ REG, label 


Listing 1.141: Check for less than zero using pseudoinstruction 


BLTZ REG, label 


Listing 1.142: Check for equal values 


BEQ REG1, REG2, label 


188 


Listing 1.143: Check for non-equal values 


BNE REG1, REG2, label 


Listing 1.144: Check for less than (signed) 


SLT REG1, REG2, REG3 
BEQ REG1, label 


Listing 1.145: Check for less than (unsigned) 


SLTU REG1, REG2, REG3 
BEQ REG1, label 


Branchless 


条件 文 の 本 体 が 非常 に 短い 場合 は 、ARM の MOVcc (ARM モ ー ド の 場合 )、ARM64 の 場合 


は CSEL 、x86 の 場合 は CMOVcc の 条件 付き 移動 命令 を 使用 で きま す 。 
ARM 


命令 に よっ て は 、ARM モ ー ド で 条件 付き 接尾 辞 を 使用 する こと も で きま す 。 
Listing 1.146: ARM (ARM モ ー ド ) 


CMP register, register/value 


instrl cc ; 条件 コー ド が 真 の 場合 、 何 ら か の 命令 が 実行 され ます 
instr2 cc ; 他 の 条件 コー ド が 真 の 場合 、 他 の 命令 が 実行 され ます 


Swarm UO. xz 


も ちろ ん 、CPU フ ラグ が いずれ か で 変更 され な い 限 り 、 条 件 付き コー ド の 接尾 辞 付き 命令 


の 数 に 制限 は あり ませ ん 。 


Thumb モ ー ド に は IT 命令 が あり 、 次 の 4 つの 命令 に 条件 付き サフ ィ ッ クス を 追加 で 


す 。 詳 し く は 、1.19.7 on page 316 を 参照 し て くだ さい 
Listing 1.147: ARM (Thumb モ ー ド ) 


ap T 


きま 


CMP register, register/value 
ITEEE EQ ; ЕЕ ЕР: if-then-else-else-else 
instrl 件 が 真 で あれ ば 命令 が 実行 され ます 


条 
instr2 ; 条件 が 偽 で あれ ば 命令 が 実行 され ます 
instr3 ; 条件 が 偽 で あれ ば 命令 が 実行 され ます 
instr4 : 条件 が 偽 で あれ ば 命令 が 実行 され ます 


第 1.14.6 節 練習 問題 


(ARM64) すべ て の 条件 付き ジャ ンプ 命令 を 削除 し 、CSEL 命令 を 使用 し て 、 リ スト 1.127 


の コー ド を 書き 直し て みて くだ さい 。 
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第 1.15 節 switch()/case/default 


第 1.15.1 節 小さ な 数 の case 


#include <stdio.h> 


void f (int a) 


{ 
switch (a) 
{ 
case 0: printf ("zero\n"); break; 
case 1: printf ("one\n"); break; 
case 2: printf ("two\n"); break; 
default: printf ("Something unknown\n"); break; 
}; 

}; 

int main() 

{ 
f (2); // test 

}; 

x86 


非 最 適 化 MSVC 


結果 (MSVC 2010): 
Listing 1.148: MSVC 2010 


tv64 = -4 : size = 4 
_а$ = 8 ; size = 4 
f PROC 
push ebp 
mov ebp, esp 
push ecx 


mov eax, DWORD PTR _a$[ebp] 
mov DWORD PTR tv64[ebp], eax 
cmp DWORD PTR tv64[ebp], 0 


je SHORT $LN4@f 
cmp DWORD PTR tv64[ebp], 1 
je SHORT $LN3@f 
cmp DWORD PTR tv64[ebp], 2 
je SHORT $LN2@f 
jmp SHORT $LN1@f 

$LN4@f 


push OFFSET $SG739 ; 'zero', QaH, OOH 
call printf 

add esp, 4 

jmp SHORT $LN7@f 


push OFFSET $SG741 ; 'one', бан, OOH 
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call printf 
add esp, 4 
jmp SHORT $LN7@f 
$LN2@f: 
push OFFSET $SG743 ; 'two', бдан, 00H 
call printf 
add esp, 4 
jmp SHORT $LN7@f 
$LN1@f: 
push OFFSET $SG745 ; 'something unknown', бан, OOH 
call printf 
add esp, 4 


$LN7@f: 
mov esp, ebp 
pop ebp 
ret 0 

_f ENDP 


実際 、switch() で いく つか の case を 持つ 私 た ちの 関数 は 、 こ の 構造 に 似 て いま す 。 


void f (int a) 
{ 
if (а==0) 
printf ("zeroNn"); 
else if (a==1) 
printf ("oneNn"); 
else if (a==2) 
printf ("twoNn"); 
else 
printf ("something unknownNn"); 
1; 


いく つか の case で switch() を 使用 する 場合 、 ソ ー ス コー ド 内 の 実際 の switch() か 、 単 に if 文 
の 組 で ある か どう か を 確認 する こと は 不可 能 で す 。 


これ は switch() が 多段 に ネス ト さ れ た if 文 と の 糖衣 構文 の よう な も の で ある こと を 意味 し 
ます 。 


コン パイ ラ か が 入力 変数 a を 一 時 的 な ロー カル 変数 tv64 に 移動 する こと を 除い て 、 生 成 さ 
れ た コー ド に は 特に 新しい こと は あり ませ ん 。31 


これ を GCC 4.4.1 で コン パイ ル す る と 、 最 大 限 の 最適 化 (-03 option) を 有効 に し て も ほ 
ぽ 同 じ 結 果 に な り ま す 。 
最適 化 MSVC 


で は 、MSVC (/0x ) の 最適 化 を 有効 に し まし ょ う : cl 1.c /Fal.asm /0x 
Listing 1.149: MSVC 


31 ス タッ ク 内 の ロー カル 変数 に は 接頭 辞 tv が 付き ます 。MSVC が 内 部 変数 と し て 使用 する た め に 命名 し て い 
ます 。 
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a$ = 8 ; size = 4 


_f PROC 
mov eax, DWORD PTR а$[еѕр-4] 
sub eax, 0 
je SHORT $LN4@f 
sub eax, 1 
je SHORT $LN3@f 
sub eax, 1 
je SHORT $LN2@f 
mov DWORD PTR a$[esp-4], OFFSET $56791 ; ‘something unknown', бан, 
aap | printf 
$LN2@f : 
mov DWORD PTR _a$[esp-4], OFFSET $SG789 ; 'two', бан, 00H 
jmp _printf 
$LN3@f : 
mov DWORD PTR a$[esp-4], OFFSET $56787 ; 'one', бан, 00H 
jmp | printf 
$LN4@f : 
mov DWORD PTR _a$[esp-4], OFFSET $56785 ; ‘zero’, бан, OOH 
jmp _printf 
_f ENDP 


ここ で 、 汚 い ハ ッ ク を 見 る こと が で きま す 。 


最初 に 、。 の 値 を EAX に 置き 、0 を 引き ます 。EAX の 値 が 0 か どう か を 確認 する た め に 行わ 
れ ま す が 、 そ う で あれ ば 、 ZF フラ グ が セッ ト さ れ ま す (例え ば 、0 か ら の 減算 は 0) 最初 
の 条件 ジャ ンプ JE (Jump if Equal £ また は あ 同 義 語 JZ —Jump if Zero) は 実行 され 、 制 
御 フ ロー は $LN4@f ラベ ル に 渡さ れ ま す 。 こ こ で は 、'zero' メッセ ー ジ が 出力 され ます 。 
最初 の ジャ ンプ が 実行 され な い 場 合 は 、 入 力 値 か ら 1 が 減算 され 、 結 果 が 0 の 場合 、 対 応 す 
る ジャ ンプ が 実行 され ます 。 


また 、 ジ ャ ンプ が 全く 実行 され な い 場 合 、 制 御 フ ロー は 文字 列 引数 'something unknown' 
を printf( ) に 渡し ます 。 


次 に 、 文 字 列 ポイ ンタ が а 変数 に 置か れ 、printf( ) が CALL で は な く IMP を 介し て 呼び 
出さ れ ま す 。 簡単 に 説明 する と こう な り ま す : caller は 値 を スタ ッ ク に プッ シュ し 、CALL 
経由 で 関数 を 呼び 出し ます 。 CALL 自体 は 戻り アド レス (RA) を スタ ッ ク に プッ シュ し 、 関 
数 アド レス へ の 無 条 件 ジャ ンプ を 行い ます 。 ス タッ ク ポ イン タ を 移動 させ る 命令 が 含ま れ 
て いな いた め 、 任意 の 実行 時 点 で の 関数 は 、 次 の スタ ッ ク レ イア ウト を 持ち ます 。 


・ ESP— points to RA 
・ ESP+4 一 points to the a variable 


反対 に 、printf( ) を ここ で 呼び 出さ な けれ ば な ら な いと き は 、 文 字 列 を 指し 示す 必要 が 
ある 最初 の printf( ) 引数 を 除い て 、 全 く 同 じ ス タッ クレ イア ウト が 必要 で す 。 そ れ が 私 
た ちの コー ド が する こ と で す 。 


ファ ンク ショ ン の 最初 の 引数 を 文字 列 の アド レス に 置き 換え 、 関 数 f( ) を 直接 呼び 出し ず 
に 直接 printf() を 呼び 出す か の よう に 、printf() に ジャ ンプ し ます 。printf( ) は 文 
字 列 を stdout に 出力 し 、RET 命令 を 実行 し ます 。 ス タッ ク か ら RA を 取り 出し 、 制 御 フ ロ 
ー は f() で は な く f() 関数 の 終り を バイ パス し て 、f( ) の caller C$, 
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printf() は すべ て の 場合 に f( ) 関数 の 終わ り で 右 に 呼ば れる の で 、 こ れ は すべ て 可能 で 
す 。 あ る 意味 で は 、tongjmp( ) 9 関数 に 似 て いま す 。 そ し て も ちろ ん 、 そ れ は スピ ー ド の 
た め に すべ て 行わ れ ま す 。 

ARM コ ン パ イラ と 同様 の ケー ス は 、「printf() 引数 を 取っ て 」 セ クシ ョ ン に 記載 され て いま 
す 。 こ ちら : (1.8.2 on page 68) 


32wikipedia 


193 


OllyDbg 


この 例 は 扱い に くい の で 、OllyDbg で トレ ー ス し て み ま し ょ う 。 


OllyDbg は その よう な switch() 構文 を 検出 する こと が で き 、 有 用 な コメ ント を 追加 する こ 
と が で きま す 。EAX の 値 は 最初 は 2 で 、 そ れ は 関数 へ の 入力 値 で す : 


CPU - main thread, module few 


8B4424 04 MOY EAX, DWORD PTR SS:[ARG. 1] 
83E8 gg SUB EAX, 0 
74 30 Je SHORT @0FF1039 
48 DEC EAX 
74 1F JZ SHORT ØØFF1028 
48 DEC EAX 
JZ SHORT @@FF101D 
MOY DWORD PTR SS:CARG.1],OFFSET ƏƏFF301| ASCII "something unknow 
<&HSUCR100.printf>] 
"two", case 2 of 
> 89FF1004 
ARG. 11, OFFSET @ƏFF300 "опе ", case 1 of ES , 


<&HSUCR100.printf>] 
"eero 回 "。 case @ of 


unknown) 


8  4TuFiraKil 
H(* hN# 


F 
F 
FI 
F 
F 
F 
F 
F 
F 
F 
F 
F 
F| 


1.42: OllyDbg: EAX は 最初 の (そし て 唯一 の ) 関数 へ の 引数 を 含ん で いま す 
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0 は EAX か ら 2 を 引い た 値 で す 。 も ちろ ん 、EAX に は まだ 2 が 入っ て いま す 。 し か し 、ZF 2 
ラグ は 0 に な り 、 結 果 の 値 が ゼロ で な いこ と を 示し ます 。 


main thread, module few 


* 864424 04 МОО EAX, DWORD PTR 55: САКБ. 1] 


・ 83E8 QA SUB EAX, Ø Switch (cases 0..2, 4 e! 
74 80 de SHORT ggFF1939 4 ASCII "Ніж" 
48 DEC EAX ^ ロロ ロロ 
Е 1Е Je SHORT @GFF162B x ロロ ロロ ロロ ロロ 
74 OE JZ SHORT ggFF1g1D Р 991EFS94 
CZ4424 04 18] MOU DWORD PTR SS:LRRG.11,0FFSET ggFF3g13 ASCII "something unknown 90000001 
FF25 Ü @GFF33A8 few。 ロ BFF33HS 


а PTR DS:[<&HSUCR100.printf>] 
55: OFF: "мо", case 2 of 


BOFF1007 few. BOFF1007 


ES 002B 32bit 9g(FFFFFFFF} 
CS 0023 32bit 9g(FFFFFFFF} 
SS 002B 32bit 9g(FFFFFFFF} 
05 002B 32bit @(FFFFFFFF) 
FS 0053 32bit 7EFDDGGG(FFF) 
GS gg2B 32bit GtFFFFFFFF) 


FF1048 LastErr 99900000 ERROR_SUCCI 
QAFF 194C (NO, NB, NE, A, NS, PO, Gl 


Jump is not taken ü аййй 
Dest=few. QAFF10939 а 
9686 


"oneB", case 1 of 


1SUCI 21 
PTR SS:LHRG.11,0FFSET @@FF3001RSCII "zercG", case 8 of 
Ü PTR DS:[<&MSUCR100.printf>] 


55 


,8) 


RETURN from 
ASCII "phe" 


2| Bg 4TuFira Kil 
8 HC hH* 


1.43: OllyDbg: SUB の 実行 
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DEC が 実行 され 、 ЕАХ に は 1 が 入り ます 。 し か し 1 は ゼロ で は な い の で 、ZF フラ グ は まだ 0 で 


DOFF 1000 SB4424 04 MOU EAX, DWORD PTR SS:CARG. 1] 
ggFF1g ロ 4 83ES Ga SUB ERX,8 
@ƏFF1007|| > 74 30 Je SHORT ggFF19g39 
@ййЕЕ1йй9/ , 48 DEC EAX аабай 
EE | +74 1F Чё SHORT @@ЕЕ1@2Б X 0009000000 
DOFF 199C 48 DEC ERX P gg1EF84C 
GaFF 1000 74 GE Je SHORT ggFF1g1D 1EF894 
ggFF19gF CZ4424 04 MOV DWORD PTR SS:CARG.11,OFFSET ggFF3g11 ASCII "something unknown 0000890091 
GaFF18017? FF25 PTR 05: LC&HSUCR1BB. ргіпт# > ОПЕЕ ЗЗА 
ggFF1g1D PTR SS:CARG.11,OFFSET ggFF3g14 ASCII "twc 回 "。 case 2 of Бн 
OFF 1925 а PTR DS:[<%HSUCR100.printf>J "99FF199H 
ggFF192B 94 PTR 55: АКБ. 1],OFFSET @0FF3001RSCII "опе ”, case 1 of ES gg2B 
ggFF1933 Я PTR DS: (<&MSUCR1G@. ргіпт# > 
ВЕЕ 1939 94 PTR SS:CARG.11,OFFSET @0FF300(RSCII "zero", case Ø of 
99FF1941 Я DS: [<&HSUCR1gg.pr intf>] 

g. 


Switch (cases 0..2, 4 е 


ggFF1g48 3 ач 1р2 006852 


um ok 
ial e E rr 
ВЕЕ 1g4B 3 LastErr 
BFF 104С 3 0800000202 
Jump is not taken 
Dest=few.00FF102B 


ggFF 1 1CHI| = RETURN from 
0800000001 
дага; 6 A ASCII "phw'" 


B 4TuFrnKil 
HC hN* 


E] 1.44: OllyDbg: 最初 の DEC 実行 


II "How" 


ew. BBFF33n8 
ew. BBFF188R 

* BLFFFFFFFF) 

t BLFFFFFFFF) 

t BLFFFFFFFF) 

t BLFFFFFFFF) 

t EFDDggg(FFF) 
t GUFFFFFFFF) 


96060686 ERROR SUCCESS 
(NO, NB, NE, A, NS, PO, GE, G 


+ + 


よく Gr 


196 


次 の DEC が 実行 され ます 。EAX は 最終 的 に 0 に な り 、 結 果 が ゼロ で ある た め ZF フラ グ が 
設定 され ます 。 


CPU - main thread, module few 


5 864424 04 го EAX, DWORD PTR 
・ 83E8 00 SUB _EAX,@ Switch (cases 0..2, 
JZ SHORT OOFF 1039 


DEC 
JZ SHORT @GFF192B 
DEC 


4e 


48 
74 1F 
48 


74 GE Jz 8 
ЛА. 94 PTR ©: вве. REP ,OFFSET ӨЙРЕЗ@1 "something unknown 


MOU DWORD ARG. 10 OFFSET QAFFSQ1I ASCII "two", case 2 of 
JMP DWORD i 
MOU DWORD „12, "опе" 
JMP DWORD <&HSUCR100.printf>] 
MOU DWORD ARG. 1], OFFSET ØØFFZØAİ ASCII "sero", case 8 of 
TFPMORD S: [ く &MSUCR199。px int£ 1 


‚ сазе 1 of 


BtFFFFFFFF) 
BLFFFFFFFF) 
t BLFFFFFFFF) 
t BLFFFFFFFF) 
7EFHDggg(FFF) 
t B(FFFFFFFF) 


LastErr 000 
EFL 90000246 
мма вава 


aaa ERROR CESS 


,PE,GE,LE) 


rom 
RETURN from f: 
ASCII "phe" 


4TuFiraKil 
* hN# 


mmmmmmmmmmmmm 国 


1.45: OllyDbg: 2 回 目 の DEC 実行 


OllyDbg は 、 こ の ジャ ンプ が 今 行わ れる こと を 示し て いま す 。 
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[two] と いう 文字 列 へ の ポイ ンタ が 今 ス タッ ク に 書き 込ま れ ま す : 


・ 83E8 00 
~ pe 30 


・ 4 
74 IF 
・ 48 
+74 OE 
- | cz442 
FF2S 


SUB _EAX,@ Switch (cases 0..2, 4 е 
Чё SHORT ggFF1939 

Чё SHORT ggFF1g2B 
JZ SHORT @GFF161D 
MOU DWORD PTR SS:CARG.1],OFFSET @@FF301:RSCII "something unknown 


DWORD PTR Deh LS BET. N TIT 

DWORD PTR 55: СААБ. 11, ОВЕҒЗӢІ! ASCII "сыс", case 2 of 
DWORD PTR 05: (<&MSUCR1GG. printf >] 

DWORD PTR SS:CARG.1],OFFSET SGFF300; ASCII "one", case 1 of 
DWORD PTR 05: C<&MSUCR1IGG. printf >] 
DWORD PTR SS:CARG.1],O0FFSET S@FFSGGI ASCII "zero", case й of 
DWORD PTR 05: (<&MSUCR1IGG. printf >I] 


II "Hw" 


t @(FFFFFFFF) 
BLFFFFFFFF) 
B FFFFFFFF) 
8t FFFFFFFF) 
EFDDggg(FFF} 
@(FFFFFFFF) 


AONDIO 


ос 


оо 


Imm-few.GBFFS818, ASCII "тыс! 
Stack [Ø01EF850]=2 
Jump from ØFF1000 


rom 
RETURN from 
СІІ "phw' 


FF C 8 —4TuFiraKil 
ай @й 3 g ü Нож hN 


| 


1.46: OllyDbg: 文字 列 へ の ポイ ンタ は 、 最 初 の 引数 の 場所 に 書き 込ま れる 


注意 : 関数 の 現在 の 引数 は 2 で あり 、2 は スタ ッ ク に 0x001EF850 の アド レス に あり ます 。 
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A は アド レス 0х001ЕЕ850 の 文字 列 に ポイ ンタ を 書き 込み ます (スタ ッ ク ウ ィ ン ド ウ 
を 参照 )。 そ の 後 、 ジ ャ ンプ が 発生 し ます 。 これ は MSVCR100.DLL の printf( ) 関数 の 最 
初 の 命令 で す (この 例 は /MD ス イッ チ で コン パイ ル さ れ て いま す )。 


CPU - main thread, module MSVCR100 


6A ac PUSH Ø SUCR 
68 2ü56446E | PUSH 6E44563g 

ES COBSFAFF | CALL 6ESFa95a 

3306 XOR EAX, EAX 

XOR ESI, ESI 

CMP DUORD PTR SS: [EBP+8], ESI 


1009.printf (forr a 


,ESI 
75 15 JNE SHORT GE4455B3 
ЕЗ 72B2FAFF |CALL _errno CHSUCR100._errno 
C700 16000001 MOU DWORD PTR 05: СЕЯХ2, 16 CONST 16 => EXDEU 
ЕВ D0590200 |CALL _invalid_parameter_noinfo CHSUCR188. invalid parar 


Gt FFFFFFFF) 
83c8 FF OR ERR, FFFFEFFF i 
EB SF MP SHORT 6E445612 IEEEEEEEES 
ES 7SE4FRFF paid a 
El 20 PUE. ОЙ ?EFDDggg(FFF) 
ADD EAX, EBX @(FFFFFFFF) 


PUSH EAX 


USH 1 [ al = 1 
ES F453FBFF CALL 6ESFR9B9 HSUCR100. 6E3FH9B9 
Stack TGB1EFB48]=f cu. BBEF5064 
Imm=0000000C (decimal 12.) 


à 75 6E 
FF FF FF FF 
FE FF FF FF 


. 8 атик 
H(* hN# 


1.47: OllyDbg: MSVCR100.DLL で の printf() の 最初 の 命令 


今や printf() は 0x00FF3010 の 文字 列 を 唯一 の 引数 と し て 扱い 、 文 字 列 を 出力 し ます 。 
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これ が printf ( ) の 最後 の 命令 で す 。 


PUSH EAX 
FF75 08 PUSH BUORD PTR SS: CEBP+8) coneco 
ascs AFF BDD ERR EBR ° | TES 7 MSUCR100.6E445617 
5g PUSH EAX EE 

894E E4 | MOU DUODRD PTR SS: CEBP-1C), EAX ааа 
ЕЗ 39E4FAFF @йййййй1 


ggFF33HB few.AAFFSSA 
6Е445617 HSUCR100.6E44S617 


ES gg2B 32bit @(FFFFFFFF) 
CS 0023 32bit G(FFFFFFFF) 
gg2B 32bit 9g(FFFFFFFF} 
3 32bit BGtFFFFFFFF) 
32bit EFDDgBg(FFF) 
32bit B(FFFFFFFF) 


00000000 ERROR 


в 


° 


Б 
5? [= gi 
EA "art dd CALL 6E4gg6HC MSUCR188.6E4886RC 
ADD ESP, 18 

2948 te FEFFI MOY DWORD PTR 55: СЕВР-41,-2 
EA 0909000000 | CALL 6Е445618 

MOU EAX, pn PTR SS: LEBP-1C1 

EN TEBSFRFF | CALL 6ESFO995 


44 C3 RETN 
6E445618 ES 13E4FAFF | CALL . iob func 
6Е445610 8308 20 ADD EAX, 20 


の の の の 


Ono 


осоо 


1 EE 
65 GA ЙИ 88 ЧЕ ай 4|| aa C i from f 
Fla unknown ae 5 "phe" 


a 4TuFirAKil 
H(* hh 


1.48: OllyDbg: MSVCR100.DLL の printf() の 最後 の 命令 


文字 列 「two」 は コン ソー ルウ ィ ン ド ウ に 表示 され ます 。 
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F7 ま た は F8 を 押し て (ステ ッ プ オー バー) リタ ー ン する と ..……f( ) で は な く 、 main( ) に いき 
ます 。 


INT 
INT 
INT 


INT 
INT: 
TINTS SS 
INT 

INT3 


6A gg PUSH 2 

ES ASFFFFFF | CALL ggFF1ggg 
8368 M XOR EAX, EAX I 

RETN `° C 8 Bt FFFFFFFF) 
PUSH ggFF142H P1 Bt FFFFFFFF) 


cs 


68 2H14FEgg 0 
EB 8603000060 | CALL ggFF13ED Á BED 
ñi Z43üEEQB |MOU EAX, DWORD PTR 05: [ƏFF30741 ар. i asus: MN 


MOY DWORD PTR SS:[LOCAL. 0], OFFSET ggFF3ITHrgE => few.0FF3064 
PUSH DWORD PTR DS:[ØFF3070] H a 

MOV DWORD PTR DS:[ØFF3064], EAX 
PUSH OFFSET ggFFSG54 Arg3 = ASCII "H(w" こら 
PUSH OFFSET ggFF3g5BS ASCII "hH*” 


g(FFFFFFFF) 


ASCII "tucg" 
RETURN from fe 


ASCII "phw'* 


me 
unknown 回 


8 4TuFirnKil 
HC hN# 


1.49: OllyDbg: main( ) へ の リタ ー ン 


は い 、printf( ) の 中 心から main( ) に 直接 ジャ ンプ し まし た 。 な ぜ な ら ス タッ ク の RA は 
fO で は な く 、nmain( ) の 場所 を 指し て いる か ら で す 。CALL 0x00FF1000 は f() を 呼び 
出し た 実際 の 命令 で す 。 


ARM: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


.text:0000014C fl: 

.text:0000014C 00 00 50 E3 CMP RO, #0 
.text:00000150 13 OE 8F 02 ADREQ RO, aZero ; "zero\n" 
. text: 00000154 05 00 00 0A BEQ loc 170 
.text:00000158 01 00 50 ЕЗ CMP RO, 41 
.text:0000015C 4B OF 8F 02 ADREQ RO, a0ne ; "опе\п" 
.text:00000160 02 00 00 0A BEQ loc 170 
.text:00000164 02 00 50 ЕЗ CMP RO, 42 


.text:00000168 ДА OF 8F 12 ADRNE RO, aSomethingUnkno ; "something 


unknown\n" 
.text:0000016C 4E OF 8F 02 ADREQ RO, aTwo ; “two\n" 


. text: 00000170 


. text: 00000170 loc_170: ; CODE XREF: f1+8 
. text: 00000170 ; fl+14 
.text:00000170 78 18 00 EA В _ 2printf 


繰り 返し ます が 、 こ の コー ド を 調べ る こと で 、 元 の ソー スコ ー ド の switch() か 単なる if() 
文 の 集合 か どう か は わか り ま せん 。 
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と に か く 、 こ こ で は 、 如 0 = 0 の 場合 に の み ト リガ され る ADREQ (Equal) の よう な 述語 命 
令 を 再度 参照 し 、 文 字 列 <zeroln> € ВО に コピ ー し ます 。70 = 0 の 場合 、 次 の 命令 BEO は 
制御 フロ ー を toc 170 に リダイレクト し ます 。 


巧妙 な 読者 は 、RO レジ スタ に 既に 値 を 埋め 込ん で いる の で 、BEO が 正しく トリ ガ さ れる か 
どう か を 尋ね る か も し れ ま せん 。 


は い 、BEQ は СМР 命令 で 設定 され た フラ グ を チェ ッ ク し 、ADREO は フラ グ を まっ た く 変 
更 し ませ ん 。 


命令 の 残り の 部 分 は 既に 慣れ 親しん で いま す 。 最 後に printf( ) を 1 回 呼び 出す だ け で す 
が 、 こ こ で は この トリ ッ ク (1.8.2 оп page 68) を 既に 調べ て いま す 。 最後 に printf( ) に 
は 3 つの パス が あり ます 。 


а=2 か どう か を 確認 する に は 、 最 後 の 命 令 CMP RO, #2 が 必要 で す 。 


それ が 真 で な い 場 合 、ADRNE は a が すでに 0 に 等 し いと チェ ッ ク さ れ て いる の で 、<«something 
unknown M» 文字 列 へ の ポイ ンタ を RO に ロー ド し ます また は 1 で あり 、 こ の 時 点 で а 2 
数 が これ ら の 数 値 と 等 し く な いこ と が わか り ま す 。 70 = 2 の 場合 、 文 字 列 <twoln> へ の 
ポイ ンタ は ADREQ に よっ て RO に ロー ド さ れ ま す 。 


ARM: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


. text: 000000D4 fl: 

.text:000000D4 10 B5 PUSH {R4,LR} 

. text: 000000D6 00 28 CMP RO, #0 

.text:000000D8 05 DO BEQ zero case 

.text:000000DA 01 28 CMP RO, £1 

.text:000000DC 05 DO BEQ one case 

.text:000000DE 02 28 CMP RO, #2 

.text:000000E0 05 DO BEQ two case 

.text:000000E2 91 АО ADR RO, aSomethingUnkno ; "something 
unknown\n" 

. text: Q00000E4 04 EO B default_case 

.text:000000E6 zero case: ; CODE XREF: fl+4 

.text:000000E6 95 АО ADR RO, aZero ; "zero\n" 

.text:000000E8 02 EO B default case 

.text:000000EA one case: ; CODE XREF: f1+8 

.text:000000EA 96 АО ADR RO, aOne ; "опе\п" 

.text:000000EC 00 EO B default case 

.text:000000EE two case: ; CODE XREF: fl+C 

.text:000000EE 97 AO ADR RO, атмо ; “two\n" 

.text:000000F0 default case ; CODE XREF: fl+10 

.text:000000F0 ; fl+14 

.text:000000F0 06 FO 7E F8 BL . 2printf 

.text:000000F4 10 BD POP {R4,PC} 


既に 言及 し た よう に 、Thumb モ ー ド の ほとん どの 命令 に 条件 付き 述語 を 追加 する こと は で 
き な い た め 、 こ この Thumb コ ー ド は 、 わ か りや すい x86 CISC ス タイ ルコ ー ド と 多少 似 て 
いま す 。 


202 


ARM64: 非 最適 化 GCC (Linaro) 4.9 


.LC12 : 
.string "zero" 
.LC13: 
.string "one" 
.LC14: 
.string "two" 
.LC15: 
.string "something unknown" 
f12: 
stp x29, x30, [sp, -32]! 
add x29, sp, 0 
str w0, [x29,28] 
tdr w0, [x29,28] 
стр w0, 1 
beq .L34 
cmp w0, 2 
beq .L35 
cmp w0, wzr 
bne .L38 ; デフ ォ ル ト の ラベ ル に ジャ ンプ 
adrp х0, .LC12 ; "zero" 
add x0, x0, :1012:.LC12 
bl puts 
b .L32 
.L34: 
adrp x0, .LC13 ; "one" 
add x0, x0, :1012:.LC13 
bl puts 
b .L32 
.L35: 
adrp x0, .LC14 ; "two" 
add x0, x0, :1012:.LC14 
bl puts 
b .L32 
‚138: 
adrp x0, .LC15 ; "something unknown" 
add x0, x0, :1012:.LC15 
bl puts 
nop 
.L32: 
tdp x29, x30, [sp], 32 
ret 


入力 値 の タイ プ は int BOC. XO レジ スタ 全体 で は な く レ ジス タ WO が 使用 され ます 。 


文字 列 ポ イン タ は ADRP/ADD 命令 ペア を 使用 し て 「 ハ ロー ワー ルド !」 の 例 1.5.3 on 
page 31 と 同じ よう に puts( ) に 渡さ れ ま す 。 


ARM64: 最適 化 GCC (Linaro) 4.9 


112: 
стр мо, 1 
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beq .L31 
cmp мо, 2 
beq .L32 
cbz w0, .L35 
; デフォ ルト の 場合 
adrp x0, .LC15 ; "something unknown" 
add х0, x0, :1012:.LC15 
b puts 
.L35: 
adrp x0, .LC12 ; "zero" 
add x0, x0, :1012:.LC12 
b puts 
.L32: 
adrp x0, .LC14 ; "two" 
add x0, x0, :1012:.LC14 
b puts 
.L31: 
adrp x0, .LC13 ; "one" 
add x0, x0, :1012:.LC13 
b puts 


より 最適 化 さ れ た コー ド 。R60 が ゼロ の 場合 、CBZ (Compare and Branch on Zero) 命令 
は ジャ ンプ し ます 。 ま た 、1.15.1 on page 190 の 前 に 説明 し た よう に 、bputs( ) を 呼び 出 
す 代 わり に 直接 ジャ ンプ する こと も で きま す 。 


MIPS 
Listing 1.150: 最適 化 GCC 4.4.5 (IDA) 

f: 

lui $gp, ( gnu local gp >> 16) 
105? 

li $v0, 1 

beq $a0, $v0, loc 60 

la $gp, ( gnu local gp & OxFFFF) ; 分 岐 遅延 スロ ッ ト 
207? 

li $v0, 2 

beq $a0, $v0, loc 4C 

or фаї, $zero ; 分 岐 遅 延 ス ロッ ト 、NOP 


; 6 と 等 し く な けれ ば ジャ ンプ 
bnez $a0, loc 38 


or $at, $zero ; 分 岐 遅 延 ス ロッ ト 、NOP 
; 0 の 場合 

lui $a0, ($LCO >> 16) # "zero" 

lw $t9, (puts & OxFFFF ) ( $gD ) 

or $at, $zero ; 分 岐 遅 延 ス ロッ ト 、NOP 

jr $t9 : 分 岐 遅 延 ス ロッ ト 、NOP 

ta фаб, ($LCO & OxFFFF) # "zero" : 分 岐 遅延 スロ ッ ト 
loc 38: # CODE XREF: f+1C 

lui $a0, ($LC3 >> 16) # "something unknown" 

lw $t9, (puts & OxFFFF ) ( $gD ) 


or gat, $zero ; 分 岐 遅 延 ス ロッ ト 、NOP 
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jr $t9 
la $a0, ($LC3 & OxFFFF) # "something unknown" ; 分 岐 遅延 
スロ ッ ト 

loc 4C: # CODE XREF: f+14 

lui $a0, ($LC2 >> 16) # "two" 

lw $t9, (puts & OxFFFF ) ( $gD ) 

or $at, $zero ; 分 岐 遅 延 ス ロッ ト 、NOP 

jr $t9 

la $a0, ($LC2 & OxFFFF) # "two" ; 分 岐 遅延 スロ ッ ト 
loc 60: # CODE XREF: f+8 

lui фаб, ($LC1 >> 16) # "one" 

lw $t9, (puts & OxFFFF ) ( $gD ) 

or $at, $zero ; 分 岐 遅 延 ス ロッ ト 、NOP 

jr $t9 

la $a0, ($LC1 & OxFFFF) # "one" ; 分 岐 遅延 スロ ッ ト 


関数 は 常に puts() を 呼び 出す こと で 終了 する の で 、puts( ) (IR : Питр Register」) ^ 
の ジャ ンプ は 「jump and link] で は な く 、 こ こ に あり ます 。 私 た ち は 以 前 これ に つい て 話 
し まし た : 1.15.1 on page 190 


LW 命令 の 後に МР 命令 も 表示 され る こと が よく あり ます 。 こ れ は 「load delay slot] : 
MIPS の 別 の delay slot で す 。 


LW が メモ リ か ら 値 を ロー ド す る 間 に 、LW の 次 の 命令 が 実行 され る こと が あり ます 。 

た だ し 、 次 の 命令 は LW の 結果 を 使用 し て は な り ま せん 。 

現代 の MIPS CPU は 、 次 の 命令 が LW の 結果 を 使用 する の を 待つ 機能 を 持っ て いる の で 、 こ 
れ は 幾 分 時 代 遅 れ で す が 、GCC は 古い MIPS CPU 用 に NOP を 追加 し ます 。 一 般 に 、 無視 する 
こと が で きま す 。 

結論 

ほとん どの 場合 switch 0 は if/ else 構 造 と 区 別 で きま せん : リス ト 1.15.1. 


第 1.15.2 節 A lot of cases 


switch( ) ステ ー ト メン ト に 大 量 の ケー ス が 含ま れ て いる 場合 、 コ ン パ イラ が 多く の 
JE/JNE 命令 で 大 きす ぎる コー ド を 出力 する こと は あま り 便 利 で は あり ませ ん 。 


#include <stdio.h> 


void f (int a) 


{ 
Switch (a) 
{ 
case 0: printf ("zero\n"); break; 
case 1: printf ("one\n"); break; 
case 2: printf ("two\n"); break; 
case 3: printf ("three\n"); break; 
case 4: printf ("four\n"); break; 
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default: printf ("something unknownNn"); break; 


un 
}; 


int main() 


{ 
}; 


х86 


非 最 適 化 MSVC 


We get (MSVC 2010): 


Listing 1.151: MSVC 2010 


tv64 = -4 
_а$ = 8 
f PROC 
push 
mov 
push 
mov 
mov 
cmp 
ja 
mov 
jmp 
$LN6@f: 
push 
call 
add 
jmp 
$LN5@f: 
push 
call 
add 
jmp 
$LN4@f : 
push 
call 
add 
jmp 
$LN3Gf : 
push 
call 
add 


jmp 
$LN2@f : 

push 

call 


; Size = 4 
; Size = 4 
ebp 

ebp, esp 
ecx 


eax, DWORD PTR _a$[ebp] 
DWORD PTR tv64[ebp], eax 
DWORD PTR tv64[ebp], 4 
SHORT $LN1@f 

ecx, DWORD PTR tv64[ebp] 
DWORD PTR $LN11@f [ecx*4] 


OFFSET $SG739 ; ‘zero', QaH, OOH 
_printf 

esp, 4 

SHORT $LN9@f 


OFFSET $SG741 ; 'one', бан, 00H 
| printf 

esp, 4 

SHORT $LN9Gf 


OFFSET $5G743 ; 'two', бан, 00H 
| printf 

esp, 4 

SHORT $LN9Gf 


OFFSET $56745 ; 'three', бан, OOH 
| printf 

esp, 4 

SHORT $LN9Gf 


OFFSET $5G747 ; 'four', бан, 00H 
| printf 
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add esp, 4 
jmp SHORT $LN9@f 
$LN1@f: 
push OFFSET $SG749 ; 'something unknown', бан, OOH 
call printf 
add esp, 4 


$LN9Gf : 
mov esp, ebp 
pop ebp 
ret 0 
npad 2; 次 の ラベ ル に アラ イン メン ト す る 
$LN11@f : 
DD $LN6@f ; 0 
DD $LN5@f ; 1 
DD $LN4@f ; 2 
DD $LN3@f ; 3 
DD $LN2@f ; 4 
E: ENDP 


ここ で は 、 さ ま ざ ま な 引数 を 持つ printf( ) 呼び 出し の セッ ト を 見 て いき ます 。 す べ て は 、 
プロ セス の メモ リ だ け で な く 、 コ ン パ イラ に よっ て 割り 当て られ た 内 部 シン ボリ ッ ク ラ ベ 
ル も 持っ て いま す 。 こ れ ら の ラベ ル は すべ で て $LN11G@f 内 部 テー ブル に も 記載 され て いま 
す 。 


関数 の 開始 時 に 、。 が 4 より 大 きい 場合 、 制 御 フ ロー は ラベ ル $LN1@f に 渡さ れ ま す 。 引数 
‘something unknown' を と っ て printf() が 呼び 出さ れ ま す 。 


LOL. a の 値 が 4 以下 の 場合 は 、4 を 乗算 し て $LN11df テー ブル アド レス で 加算 し ます 。 
これ は テー ブル 内 の アド レス が どの よう に 構築 され 、 必 要 な 要素 を 正確 に 指し 示す も の 
で す 。 た と えば 、。 が 2 に 等 し いと し まし ょ う 。2*4= ニ 8 (すべ て の テー ブル 要素 は 32 ビ 
ッ ト プ ロ セ ス の アド レス な の で 、 す べ て の 要素 が 4 バイ ト 幅 で す ) 。$LN11ef テー ブル の 
アド レス + 8 は $LN4@f ラベ ル が 格納 され て いる テー ブル 要素 で す 。JMP は テー ブル か ら 
$. мағ アド レス を 取り 出し 、 そ れ に ジャ ンプ し ます 。 


この テー ブル は し ば し ば jumptable また は branch table”? と 呼ば れ ま す 。 


それ か ら 、 対 応 す る printf( ) は 引数 'two' で 呼び 出さ れ ま す 。 実際 、 jmp DWORD PTR 
$LN11@f [ecx*4] 命令 は jump to the DWORD that is stored at address $LN11@f + 
ecx * 4 


npad (?? on page ??) は 、4 バ イト (また は 16 バ イト ) の 境界 に 整列 し た アド レス に 格納 
され る よう に 次 の ラベ ル を 整列 する アセ ン ブ リ 言語 マク ロ で す 。 これ は 、 メ モリ バス 、 キ 
ャ ッシュ メモ リ な ど を 介し て メモ リ か ら 32 ビ ッ ト 値 を フェ ッ チ する こと が で きる た め 、 プ 
ロ セ ッ サ が 整列 し て いる 場合 に は より 効果 的 な 方 法 で プロ セッ サ に 非常 に 適し て いま す 。 


33The whole method was once called computed GO7O in early versions of Fortran: wikipedia. Not quite 
relevant these days, but what a term! 
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OllyDbg 


OllyDbg で この 例 を 試し て み ま し ょ う 。 関 数 へ の 入力 値 2 が EAX に ロー ド さ れ ま す 。 


EE] PUSH ЕВР, 
51 PUSH EER 

2 8B45 08 MOU EAX, DWORD PTR 55: LEBP+8] EES 89eeae ーー initenv 

8945 FC MOU D : [| EAX EE 2008 

ü 8370 FC 94 |CMP OWORD PTR EET asas 

919B 77 sn JA SHORT O18B186Rn ЕР ааа 

0108 ЁЕ2дер ZC199 UMP DUORD PTR DS ECXW4+19B197C] ESI 08280801 

a H "de n AIG " apa2na 

g19B 68 gg3ggEg1 | PUSH OFFSET D10B3008 [iarmat = EDS Oe 96201065989 

9108 CALL DWORD PTR DS <&HSUCR199・printf>] |LSUCR1gg。 [EIP lot . 919B1997 

g19B JMP SHORT 91081078 ce ГЕ OKEEEEEEEEY 

919B 983QgBg1 | PUSH OFFSET 01063008 format = [5 2 EEEEEEEEES 

919B FF15 Hg2ggEg| CALL DWORD PTR DS: [<&HSUCR100.printf>J |LrsucRioe, |" 7 Е ВЕЕЕЕЕЕЕЕЕЈ 

0108 83C4 04 RDD ESP,4 Sg it ?EFDDgg9(FFF) 

g19E EB 3E JMP SHORT 01081078 518 BCFFFFFFFF) 

0108 Peis Ba289Bg| CALL DUORD PTR DSs LC&NSUCR188.printf>] |LiSUCRigg。 |0 ° | 

6106 : „print E Я рала Ее Baier 

9198 cris ва Б-Н 0 @ LastErr 60000000 ERROR SUCCESS 

8196 EB 2E UMP SHORT 01081078 EFL 00000246 (NO,NB,E,BE,NS, PE, GE, LE) 

FX=2 49 е gggg 

Stack [gg3CFDH8]=6E494714 (MSUCR100. _initenu) ; адад 


айай 


а 3e b 38| RETURN from 101 
somethin FDBS < 
9 unknown 回 a0 1 3120 RETURN from Lot 


B  Ътһ#е#Чт 
Hie hhNe 


1.50: OllyDbg: 関数 へ の 入力 値 が EAX に ロー ド さ れる 
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入力 値 が 4 より 大 きい か チェ ッ ク さ れ ま す 。 そ う で な けれ ば 、「defau 
れ ま せん 。 


CPU - main thread, module lot 


61081000] 
01081001 
01081003 
01081004 


55 PUSH EBP 
SBEC MOU EBP,ESP 
51 PUSH ECX 
SB45 08 MOU EAX, DWORD PTR 55: [LEBP+8] 
8945 FC MOU DWORD PTR 55: CEBP-4],EAX 
8370 FC 64 |CMP DWORD PTR SS: CEBP-41,4 


sve ?? SA JA SHORT 1gB1g6H 
8B4D FC MOU ECX, DWORD PTR SS: CEBP-4] 


.... ` | 


・ | FF248D 了 C1gg JMP DWORD PTR DS:[ECX*4+10B107C1 

> | 68 PUSH OFFSET 61663000 format = 

. CALL DWORD PTR DS:[<&MSUCR100.printf>] |CMSUCR100. EIP 0108 
` ADD ESP,4 C1 ES 
E JMP SHORT 01081078 PO CS 
> PUSH OFFSET 010B3008 format = n1 SS 
. CALL DWORD PTR DS:[<&MSUCR100.printf>] |CMSUCR100. га DS 
・ ADD ESP,4 $1 FS 
E JMP SHORT 61661978 та BS 
> PUSH OFFSET 61663616 format = Da 

・ SALL DWORD PTR DS:[<&MSUCR100.printf>] |CMSUCR100. оа 


JP SHORT 1gB1978 n 9000! 
@йй@ 

6888 

ロロ ロロ 

3 9008 


someth in 
э unknown 回 


. Ө Ътһ#е#Чт 
218 ніж hNW 


OO3CEDD4 


993CFDDS 


図 1.51: OllyDbg: 2 は 4 より 大 きい か : ジャ ンプ は 実行 


It] ジャ ンプ は 実行 さ 


100E 


14 MSUCR100. . 
а 


initenv 


lot . 01083388 
lot. 010B100E 


002B 32bit @(FFFFFFFF) 
0023 32bit (FFFFFFFF} 
gg2B 32bit @(FFFFFFFF) 
gg2B 32bit ØLFFFFFFFF) 
0053 32bit 7ZEFDDØØØLFFF) 
gg2B 32bit @(FFFFFFFF) 


0293 


0000 0000 AGGA 
8000 OOOO пора 
8000 0000 прай 
0000 00GA @й@й 

аййй йййй 


QASCFDFC 


ПЕ © 
@10В1 BE 


пайравй 
аййййййй 
ТЕЕПЕЙЙЙ 
00000000 


され な い 


70 | RETURN from 


astErr 0080000000 ERROR SUCCESS 
(NO, B, NE, BE, S, PO,L,LE) 


8| RETURN from 
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format = 102.918 
MSUCR188. > 01061013 lot. ロ 1 


gB1g 
32bit g(FFFFFFFF) 
format = bit @(FFFFFFFF) 
ISUCR1 ロ ロ @(FFFFFFFF) 
TEASE! g(FFFFFFFF ) 
E ?EFDDggg(FFF) 
format = @(FFFFFFFF) 
format = 


HMSUCR188.printf?1 MSUCR1688. 


RETURN from lot.010B100( 


с? 04 24 74 20 OB 01 FF 
68 


74 38 GR OL 68 A$20| RETURN from lot.@1GB109¢ 
5 Єй 20 0R й] FF 15 94 20 OB 01 83 
95 Сӣ 79 08 БА 08 ES AB 02 
ES 68 05 00 66 
7S üB 53 53 6A G1 53 FF 
FC 64 Al 18 66 йй йй SB 70 б 
53 56 57 FF 15.20 20 6B 01 
C6 75 08 33 F6 46 89 75 E4 EB 10 68 
FF 15.24 20 ОВ 91 EB DA 33 F6 46 Al 


1.52: OllyDbg: ジャ ンプ テー ブル を 用 いて 行先 の アド レス を 計算 する 


ここ で 、「Follow in Dump] ^ 「Address constant] を チェ ッ ク し ます 。 そ し て 、 デ ー タ 
ウィ ンド ウ に jumptable が 見 えま す 。 5 つの 32 ビ ッ ト 値 が あり ます 。 ?^ ECX は 2 に な り ま 
し た 。 し た が っ て 、 テ ー ブ ル の 3 番目 の 要素 (2 と し て 3 索引 付け で きま す ) が 使用 され ま 
す 。「Follow in Dump] > [Memory address] を クリ ッ ク す る こと が で き 、OllyDbg は 
JMP 命令 で 指示 され た 要素 を 表示 し ます 。 それは 0x010B103A で す 。 


34 こ れ ら は また 要 修 正 ?? on page ?? で ある た め 、OllyDbg で 下線 が 引か れ て いま す 。 後 で それ ら に 戻っ て くる 
つも り で す 
35 イ ン デ ックス に つい て は 以下 を 参照 : ?? on page ?? 
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ジャ ンプ の 後 、0x0190B103A に いま す 。「two」 を 表示 する コー ド が 実行 され ます 。 


CPU - main thread, module lot 


ss PUSH ЕВР 

SBEC MOU EBP, ESP 

51 PUSH_ECX 

8B45 08 MOU EAX,DWORD PTR 55: [EBP+8] 
8945 FC MOY DWORD PTR 55: CEBP-4],EAX 
837D FC 04 | СМР DWORD PTR SS: СЕВР-4 

77 SA JA SHORT a8i18B186R 

8B4D FC MOV ECX,DWORD PTR SS:LEBP-41 3 
FF2480 7С190| JMP DWORD PTR DS:[ECX%*4+10B107C1 lot 
PUSH OFFSET 01 format = "gero 回 ity 


68 @ййзөйрй] 083900 En 
FF15 QOZLA CALL DWORD PTR DS:L4&HSUCR188. pr i C HSUCRIGB. printf ° B18B183R lot.® 
ES de RD 


n 
JMP SHORT 01081078 
PUSH OFFSET 01063008 format = "опе " 

CALL DWORD PTR 05: [<&MSUCR100.pri LHSUCR188.printf @ГЕЕЕЕЕЕЕЕ) 
ADD ESP,4 ZEFDDƏ08( FFF) 
JMP SHORT 01081078 А QCFFFFFFFF ) 
PUSH OFFSET 01083010 | format = "twog" i 

CALL DWORD PTR DS:[<&MSUCR100. pr i LHSUCR100.printf 

. ADD ESP,4 

„у EB 2E JMP_ SHORT 01061078 
Stack [OOSCFDA4]= lot . 010863068 

Imm=lot. 01083010, ASCII "two" 


жр b 
Ufle j@uf 


1.53: OllyDbg: 今や case: ラベ ル に いま す 


非 最適 化 GCC 


GCC 4.4.1 が 生成 する も の を 見 て み ま し ょ う : 
Listing 1.152: GCC 4.4.1 


public f 
f proc near ; CODE XREF: main+10 


var_18 = dword ptr -18h 
arg 0 = dword ptr 8 


push ebp 

mov ebp, esp 

sub esp, 18h 

cmp [ebp+arg 0], 4 

ja short loc 8048444 

mov eax, [ebptarg 0] 

shl eax, 2 

mov eax, ds:off 804855C[eax] 
jmp eax 


loc 80483FE: ; DATA XREF: .rodata:off 804855C 
mov [esp+18h+var 18], offset aZero ; "zero" 
call | puts 
jmp short locret 8048450 
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loc 804840C: 


mov 
call 


jmp 


loc 804841A: 


mov 
call 
jmp 


loc 8048428: 


mov 
call 
jmp 


loc 8048436: 


mov 
call 


jmp 


loc 8048444: 


mov 
call 


locret 8048450: 


leave 


retn 
f endp 


off 804855C 


dd 


DATA XREF: .rodata:08048560 
[esp+18h+var 18], offset aOne ; "опе" 
puts 

short locret 8048450 


DATA XREF: .rodata:08048564 
[esp+18h+var 18], offset aTwo ; "two" 
| puts 

short locret 8048450 


DATA XREF: .rodata:08048568 
[esp+18h+var 18], offset aThree ; "three" 
puts 

short locret 8048450 


DATA XREF: .rodata:0804856C 
[esp+18h+var 18], offset aFour ; "four" 
puts 

short locret 8048450 


CODE XREF: f+A 


[esp+18h+var 18], offset aSomethingUnkno ; "something unknown" 
| puts 

; CODE XREF: f+26 

‚ f+34... 
offset loc 80483FE ; DATA XREF: f+12 


offset loc 804840C 
offset loc 804841A 
offset loc 8048428 
offset loc 8048436 


引数 arg 0 は 2 ビッ ト 左 に シフ ト す る こと で 4 倍 さ れ ま す (これ は 4 倍 の 乗算 と ほぼ 同じ 
で す )。 (1.18.2 on page 267) off 804855C 配列 か ら ラ ベル の アド レス を 取り 出し 、EAX 
に 格納 し て か ら 、JMP EAX が 実際 の ジャ ンプ を 行い ます 。 


ARM: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


Listing 1.153: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


00000174 12 

00000174 05 00 50 ЕЗ СМР RO, #5 ; switch 5 cases 

00000178 00 Е1 8F 30 ADDCC PC, PC, R0,LSL#2 ; switch jump 

0000017C OE 00 00 EA B default case ; jumptable 00000178 
default case 

00000180 

00000180 loc 180 ; CODE XREF: f2+4 


00000180 03 00 00 EA B zero case ; jumptable 00000178 case 0 
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00000184 
00000184 
00000184 


00000188 
00000188 
00000188 


0000018C 
0000018C 
0000018C 


00000190 
00000190 
00000190 


00000194 
00000194 
00000194 
00000194 
00000198 


0000019C 
0000019C 
0000019C 
0000019C 
000001A0 


000001A4 
000001A4 
000001A4 
000001A4 
000001A8 


000001AC 
000001AC 
000001AC 
000001AC 
000001B0 


000001B4 
000001B4 
000001B4 
000001B4 
000001B8 
000001B8 
000001B8 
000001B8 


000001BC 
000001BC 
000001BC 


04 


05 


06 


07 


EC 


EC 
04 


01 
02 


01 
00 


01 


66 


00 


00 


00 


00 


00 


00 
00 


oC 


0c 
00 


oC 


18 


00 


00 


00 


00 


8F 


8F 
00 


8F 


8F 
00 


8F 


00 


EA 


EA 


EA 


EA 


E2 
EA 


E2 
EA 


E2 
EA 


E2 
EA 


E2 


EA 


loc 184 ; 


loc 188 ; 


loc 18C ; 


loc 190 ; 


zero case 


ADR 
B 


one case ; 


ADR 
B 


two case ; 


ADR 
B 


, 


, 


, 


, 


CODE XREF: f244 


one case 


CODE XREF: f2+4 


two case 


CODE XREF: f2+4 


three case 


CODE XREF: f244 


, 


, 


four case 


; CODE XREF: f2+4 


f2:loc 180 
RO, aZero 
loc 1B8 


CODE XREF: f2+4 
f2:loc 184 

RO, a0ne 

loc 1B8 


CODE XREF: f2+4 
f2:loc 188 

RO, aTwo 

loc 1B8 


three case ; CODE XREF: f2+4 


ADR 
B 


four case ; 


ADR 
loc 1B8 


B 


default case ; CODE XREF: f2+4 


, 


; f2:loc 18C 
RO, aThree 
loc 1B8 


CODE XREF: f244 
f2:loc 190 
RO, aFour 


CODE XREF: f2424 


f242C 
_ 2printf 


; f248 


; jumptable 


; jumptable 


; jumptable 


; jumptable 


; jumptable 


; jumptable 


; jumptable 


; jumptable 


; jumptable 


00000178 


00000178 


00000178 


00000178 


00000178 


00000178 


00000178 


00000178 


00000178 


case 1 


case 2 


case 3 


case 4 


case 0 


case 1 


case 2 


case 3 


case 4 


213 
| 000001BC D4 00 8F E2 ADR RO, aSomethingUnkno ; jumptable 00000178 | 


default case 
| 0000010 FC FF FF EA B loc 1B8 | 


この コー ド で は 、 す べ て の 命令 の 固定 サイ ズ が 4 バイ ト の ARM モ ー ド 機能 を 使用 し て いま 
+ 


a の 最大 値 は 4 で 、 そ れ 以 上 の 値 を 指定 する 5. «something unknown\n» 文字 列 が 出力 さ 
れる こと に 注意 し まし ょ う 。 


最初 の CMP RO, #5 命令 は 、。 の 入力 値 を 5 と 比較 し ます 。 


96 次 の ADDCC PC, PC,RO, LSL #2 命令 は 、RO < 5 (CC=Carry clear / Less than) の 
場合 に の み 実 行 さ れ ま す 。 し た が っ て 、ADDCC が トリ ガ し な い 場 合 (0 > 5 OWA). 
default case ラベ ル に ジャ ンプ し ます 。 


し か し RO<5 と ADDCC が トリ ガ さ れ た 場合 、 次 の こと が 起こ り ま す : 


RO の 値 に は 4 が 掛け られ ます 。 実際 、 命 令 の サフ ィ ッ クス の LSL #2 は 「2 ビ ッ ト 左 シフ 
ト 」 の 略 で す 。 し か し 、 セ クシ ョ ン 「 シ フト 」 の (1.18.2 on page 266) で 後 で 見 る よう 
に 、2 ビ ッ ト 左 シフ ト は 4 を 乗算 する の と 同じ で す 。 


次 に 、 ВО» 4 を PC! の 現在 の 値 に 追加 し 、 下 に ある B (Branch) 命令 の 1 つ に ジャ ンプ し 
ます 。 


ADDCC 命令 の 実行 時 に 、PC! の 値 は ADDCC 命令 が 置か れ て いる アド レス (0x178) より 
も 8 バイ ト 先 (0x180) で あり 、 言 い 換 えれ ば 2 命令 先 に あり ます 。 


これ は ARM プ ロ セ ッ サ の パイ プラ イン が どの よう に 動作 する か を 示し て いま す 。ADDCC が 
実行 され る と 、 現時 点 で プロ セッ サ は 次 の 命令 の 後に 命令 を 処理 し 始め て いる の で 、 PC! が 
そこ を 指し て いる の は その た めで す 。 これ は 覚え て お く 必 要 が あり ます 。 


a=0 の 場合 、PC! の 値 に 加算 され 、PC! の 実際 の 値 は PC! (8 バイ ト 先 ) に 書き 込ま れ 、 
loc 180 と いう ラベ ル へ の ジャ ンプ が 起こ り ま す 。 これ は 、ADDCC 命令 の 先 の 8 バイ ト 先 
で す 。 


a=1 の 場合 、PC! に は PC +84+4044=PC4+841+4= PC412=07184 が 書き 込ま れ ま 
す 。/oc 784 と いう ラベ ル が 付い た アド レス で す 。 


1 を 。 に 加え る ご と に 、 結 果 の PC! は 4 ずつ 増加 し ます 。 
4 は ARM モ ー ド の 命令 長 で あり 、 各 B 命 令 の 長 さ 4 で それ ら は 5 つ あ り ま す 。 


これ ら の 5 つの B 命 令 の それ ぞ れ は 、 制 御 を switch) に プロ グラ ム さ れ た も の に さら に 
渡し ます 。 


対応 する 文字 列 の ポイ ンタ ロー ディ ング が 発生 し ます 。 


ARM: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


Listing 1.154: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


000000F6 EXPORT 12 
000000F6 f2 
000000F6 10 B5 PUSH {R4,LR} 


36ADD 一 addition 
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000000F8 03 00 MOVS R3, RO 

000000FA 06 FO 69 F8 BL . ARM common switch8 thumb ; switch 6 
cases 

000000FE 05 DCB 5 

000000FF 04 06 08 QA OC 10 DCB 4, 6, 8, OxA, 0xC, 0x10 ; jump table for 
switch statement 

00000105 00 ALIGN 2 

00000106 

00000106 zero case ; CODE XREF: f2+4 

00000106 8D АО ADR RO, aZero ; jumptable 000000FA case 0 

00000108 06 EO B loc 118 

0000010A 

0000010A one case ; CODE XREF: f2+4 

0000010A 8E АО ADR RO, aOne ; jumptable 000000FA case 1 

0000010C 04 EO B loc 118 

0000010E 

0000010E two case ; CODE XREF: f2+4 

0000010E 8F АО ADR RO, aTwo ; jumptable 000000FA case 2 

00000110 02 EO B loc 118 

00000112 

00000112 three case ; CODE XREF: f2+4 

00000112 90 A0 ADR RO, aThree ; jumptable 000000FA case 3 

00000114 00 EO B loc 118 

00000116 

00000116 four case ; CODE XREF: f2+4 

00000116 91 A0 ADR RO, aFour ; jumptable 000000FA case 4 

00000118 

00000118 loc 118 ; CODE XREF: f2+12 

00000118 ; f2416 

00000118 06 FO 6A F8 BL _ 2printf 

0000011C 10 BD POP (RA, PC) 

0000011E 

0000011E default case ; CODE XREF: f2+4 

denies 82 A0 ADR RO, aSomethingUnkno ; jumptable 

00000FA g fault case 

00000120 FA E B loc 118 

000061D0 EXPORT _ ARM common switch8 thumb 

000061D0 _ ARM common switch8 thumb ; CODE XREF: 
ехатр1еб #2+4 

00006100 78 47 BX PC 

000061D2 00 00 ALIGN 4 

000061D2 ; End of function _ ARM common switch8 thumb 

000061D2 

000061D4 32 ARM common switch8 thumb ; CODE XREF: 


ARM common switch8 thumb 
000061D4 01 CO 5E E5 LDRB R12, [LR,£-1] 
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00006108 0С 00 53 El CMP R3, R12 

000061DC 0С 30 DE 27 LDRCSB R3, [LR,R12] 

000061E0 03 30 DE 37 LDRCCB R3, [LR,R3] 

000061E4 83 СО 8E EO ADD R12, LR, R3,LSL#1 

000061E8 1C FF 2F El BX R12 

000061E8 ; End of function 32 ARM common switch8 thumb 


Thumb モ ー ド と Thumb-2 モ ー ド の すべ て の 命令 が 同じ サイ ズ で ある こと を 確認 する こと 
は で きま せん 。 こ れ ら の モー ド で は 、x86 の 場合 と 同様 に 、 命 令 の 長 さ が 可変 で ある と い 
えま す 。 


し た が っ て 、 そ こ に ある ケー ス の 数 (デフ ォ ル ト ケ ー ス を 含ま な い ) に 関す る 情報 と 、 対 
応 す る ケー ス で コン トロ ー ル を 渡す 必要 が ある ラベ ル を 持つ それ ぞ れ の オフ セッ ト が 含ま 
れ て いる 特別 な テー ブル が 追加 され て いま す 。 


_ ARM common switch8 妨 u7 が の D と いう 名 前 の テー ブル と パス コン トロ ー ル を 扱う た め 
に 特別 な 関数 が ここ に あり ます 。BX PC で 始ま り 、 そ の 機能 よさ プ ロ セ ッ サ を ARM モ ー ド に 
切り 替え る こと で す 。 次 に 、 テ ー ブ ル 処理 の 機能 が 表示 され ます 。 


今 こ こ で 説明 する に は あま り に も 進ん で いる の で 、 省 略し まし ょ う 。 
関数 が LR レジ スタ を テー ブル へ の ポイ ンタ と し て 使用 する こと は 興味 深い こと で す 。 


実際 、 こ の 関数 を 呼び 出し た 後 LR に は テー ブル が 始ま る BL ARM common switch8 thumb 
命令 の 後 の ア ドレ ス が 入り ます 。 


また 、 コ ー ド を 再 利用 する た め に 別 の 関数 と し て 生成 され る の で 、 コ ン パ イラ は すべ て 
の switch() 文 に 対し て 同じ コー ド を 生成 し な いこ と に も 注意 し て くだ さい 。 


IDA は それ を サー ビス 関数 と テー ブル と し て 認識 し 、jumptabte 000000FA case 0 の 
よう な ラベ ル の コメ ント を 追加 し ます 。 


MIPS 


Listing 1.155: 最適 化 GCC 4.4.5 (IDA) 


lui $gp, ( gnu local gp >> 16) 
; 入力 値 が 5 未満 の 場合 は Loc 24 に ジャ ンプ 
sttiu $v0, $a0, 5 
bnez $v0, loc 24 
la $gp, ( gnu local gp & OxFFFF) ; 分 岐 遅延 スロ ッ ト 


; 入力 値 は 5 以上 
; "something unknown" を 表示 し 、 終 了 


lui $a0, ($LC5 >> 16) # "something unknown" 
lw $t9, (puts & OxFFFF ) ( $gD ) 
or gat, $zero ; NOP 
jr $t9 
la $a0, ($LC5 & OxFFFF) # "something unknown" ; 分 岐 遅延 
スロ ッ ト 
loc 24: # CODE XREF: f+8 


‚ ジャ ンプ テー ブル の アド レス を ロー ド す る 
; LA は 疑似 命令 で 、 実 際 は LUT と ADDIU の ペア で す 
ta $v0, off 120 
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rodata:0000012C 


; 分 岐 遅延 スロ ッ ト 


rodata :00000130 


; 分 岐 遅延 スロ ッ ト 


rodata:off 120 


; 分 岐 遅延 スロ ッ ト 


rodata:00000124 


; 分 岐 遅 延 ス ロッ ト 


rodata :00000128 


: 入力 値 に 4 を か ける 
sll $a0, 2 
; 掛け 算 し た 値 と ジャ ンプ テー ブル の アド レス を 足し あわ せる 
addu фаб, $v0, $a0 
: ジャ ンプ テー ブル か ら 要 素 を ロー ド す る 
tw $v0, 0($a0) 
or $at, $zero ; NOP 
; ジャ ンプ テー ブル で 得 た アド レス に ジャ ンプ する 
jr $V0 
or $at, $zero ; 分 岐 遅延 スロ ッ ト 、NOP 
sub 44: # DATA XREF: 
"three" を 表示 し て 終了 
lui $a0, ($LC3 >> 16) # "three" 
lw $t9, (puts & OxFFFF ) ( $gD ) 
or $at, $zero ; NOP 
jr $t9 
la $a0, ($LC3 & OxFFFF) # "three" 
sub 58: # DATA XREF: 
; "four" を 表示 し て 終了 
lui $a0, ($LC4 >> 16) # "four" 
lw $t9, (puts & OxFFFF ) ( $gD ) 
or $at, $zero ; NOP 
jr $t9 
la $a0, ($LC4 & OxFFFF) £ "four" 
sub 6C: # DATA XREF: 
; "zero" を 表示 し て 終了 
lui $a0, ($LCO >> 16) # "zero" 
lw $t9, (puts & OxFFFF ) ( $gD ) 
or $at, $zero ; NOP 
jr $t9 
la $a0, ($LCO & OxFFFF) Z "zero" 
sub 80: # DATA XREF: 
"one" を 表示 し て 終了 
lui $a0, ($LC1 >> 16) # "опе" 
lw $t9, (puts & OxFFFF ) ( $gD ) 
or $at, $zero ; NOP 
jr $t9 
la $a0, ($LC1 & OxFFFF) # "one" 
sub 94: # DATA XREF: 
"two" を 表示 し て 終了 
lui $a0, ($LC2 >> 16) # "two" 
lw $t9, (puts & OxFFFF ) ( $gD ) 
or $at, $zero ; NOP 
jr $t9 
la фаб, ($LC2 & OxFFFF) # "two" 


; お そら く .rodata セ クシ ョ ン に 配置 され る 


off 120: .word sub 6С 


; 分 岐 遅延 スロ ッ ト 
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.word sub_80 
.word sub 94 
.word sub 44 
.word sub_58 


私 た ちの 新しい 命令 は SLTIU で す (「Set on Less Than Immediate Unsigned」)。 


SLTU と 同じ で す が 、「I|」 は 「immediate」 を 表し ます 。 つ まり 、 命 令 自体 に 数 値 を 指定 す 
る 必要 が あり ます 。 


BNEZ は [Branch if Not Equal to Zero] です 。 
コー ド は 他 の ISA に 似 て いま す 。SLL (「Shift Word Left Logical」) は 4 を 掛け ます 。 
結局 の と ころ 、MIPS は 32 ビ ッ ト CPU な の で 、/umptgp/e の すべ て の アド レス は 32 ビ ッ ト 


の も の で す 。 
結論 
switch() の 大 ま か な ス ケル トン : 
Listing 1.156: x86 


MOV REG, input 

CMP REG, 4 : case の 最大 数 

JA default 

SHL REG, 2 : テー ブル で 要素 を 見 つけ る 。x64 で は 3 ビッ トシ フト 
MOV REG, jump tabte[REG] 

JMP REG 


; 何 か す る 
JMP exit 
; 何 か す る 
JMP exit 
‚ 何 か す る 
JMP exit 
; 何 か す る 
JMP exit 


; 何 か す る 
JMP exit 


default: 


exit: 
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jump table dd casel 
dd case2 
dd case3 
dd case4 
dd case5 


ジャ ンプ テー ブル の アド レス へ の ジャ ンプ は この 命令 で 用 いて 実装 され る で し ょ う : IMP 
jump tabte[REG*4] も し く は x64 で は JMP jump tabte[REG*8] 。 


jumptable は 単に ポイ ンタ の 配列 で 、 後 で 説明 し ます : 1.20.5 on page 346 


第 1.15.3 節 ある ブロ ッ ク に 複数 の case 文 が ある と き 
よく 用 いら れる 構成 が あり ます : 単 一 ブロック に いく つか case ステ ー ト メン ト が あり ま 
d: 


#include <stdio.h> 


void f(int a) 
{ 
Switch (a) 
{ 
case 1: 
case 2: 
case 7: 
case 10: 
printf ("1, 2, 7, 10\n"); 
break; 
case 
case 
case 
case 


OU! BW 


printf ("3, 4, 5Nn"); 
break: 

case 8: 

case 9: 

case 20: 

case 21: 
printf ("8, 9, 21Nn"); 
break; 

case 22: 
printf ("22Nn"); 
break; 

default: 
printf ("defaultNn"); 
break; 

1; 

1; 


int main() 


{ 
}; 


f(4); 


OOAONADUBWNE 
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可能 性 の ある ケー ス ご と に ブロ ッ ク を 生成 する の は 無駄 で す 。 通 常 は 、 各 ブロ ッ ク に 何ら 
か の ディ スパ ッ チ ャ ー を 加え た も の を 生成 し ます 。 


MSVC 
Listing 1.157: 最適 化 MSVC 2010 
$SG2798 DB '1, 2, 7, 10', бан, OOH 
$SG2800 DB '3, 4, 5', бан, OOH 
$SG2802 DB '8, 9, 21', QaH, OOH 
$SG2804 DB '22', QaH, OOH 
$SG2806 DB 'default', бан, 00H 
_а$ = 8 
"T PROC 
mov eax, DWORD PTR  a$[esp-4] 
dec eax 
cmp eax, 21 
ja SHORT $LN1@f 
movzx eax, BYTE PTR $LN10@f [eax] 
jmp DWORD PTR $LN11@f [eax*4] 
$LN5@f : 
mov DWORD PTR _a$[esp-4], OFFSET $SG2798 ; ‘1, 2, 7, 10' 
jmp DWORD PTR _imp_ printf 
$LN4@f : 
mov DWORD PTR _a$[esp-4], OFFSET $SG2800 ; ‘3, 4, 5' 
jmp DWORD PTR imp printf 
$LN3@f : 
mov DWORD PTR a$[esp-4], OFFSET $56G2802 ; ‘8, 9, 21' 
jmp DWORD PTR imp printf 
$LN2@f : 
mov DWORD PTR a$[esp-4], OFFSET $SG2804 ; '22' 
jmp DWORD PTR imp printf 
$LN1@f : 
mov DWORD PTR _a$[esp-4], OFFSET $SG2806 ; ‘default’ 
jmp DWORD PTR _imp_ printf 
npad 2 : $LN11ef テ ー ブ ル を 16 バ イト 境界 に アラ イン メン ト す る 
$LN11@f : 
DD $LN5@f ; '1, 2, 7, 10' を 表示 
DD $LN4@f ; '3, 4, 5' を 表示 
DD $LN3@f ; '8, 9, 21' を 表示 
DD $LN2@f ; '22' を 表示 
DD $LN1Gf ; 'default' を 表示 
$LN10@f : 
DB 0; a=1 
DB 0; a=2 
DB 1; a=3 
DB 1; a=4 
DB 1: 5325 
DB 1; a=6 
DB 0 ; a=7 
DB 2 : a=8 
DB 2 : a=9 
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DB 0 ; a-10 
DB 4 ; a-11 
DB 4 ; a-12 
DB 4 ; a-13 
DB 4 ; a-14 
DB 4 ; a-15 
DB 4 ; a-16 
DB 4 ; a-17 
DB 4 ; a-18 
DB 4 ; a-19 
DB 2 ; a-20 
DB 2 ; a-21 
DB 3 ; a=22 
f ENDP 


最初 の テー ブル ($LN10@f) は イン デック ステ ー ブ ル で 、2 番 目 の テ ー ブ ル ($LN11@f) は 
ブロ ッ ク へ の ポイ ンタ の 配列 で す 。 


まず 、 入 力 値 が イン デック ステ ー ブ ル の イン デック ス と し て 使用 され ます (13 行 目 )。 


表 の 値 の 短い 凡例 は 次 の と お り で す 。0 は 最初 の cgse ブロ ッ ク で す ( 値 1.2.7,10 の 場合 )。 
1 は 2 番目 の 値 ( 値 3.4.5) で す 。2 は 3 番目 の 値 ( 値 8.9.21) で す 。3 は 4 番目 の 値 ( 値 22) で 
す 。4 は デフ ォ ル トブ ロッ ク 用 で す 。 


コー ド ポ イン タ の 2 番目 の テー ブル の イン デック ス を 取得 し 、 そ れ に ジャ ンプ し ます (14 行 
目 )。 


注目 すべ き 点 は 、 入 力 値 0 の 場合 が な いこ と で す 。 


その た め 、10 行 目 の DEC 命令 が 表示 され 、。 = 1 に テー ブル 要素 を 割り 当て る 必要 が な い 
た め 、。= 1 で テー ブル が 開始 され ます 。 


これ は よく 用 いら れる パタ ー ン で す 。 


それ で な ぜ こ れ が 経済 的 な の で し ょ うか ? 以 前 は ブロ ッ ク ポ イン タ で 構成 され た 1 つの テ 
ー ブ ル だ け で 、 そ れ を 作る こと が で き な い の は な ぜ で すか ?(1.15.2 on page 210) その 理 
由 は 、 イ ン デ ックス テー ブル の 要素 が 8 ビッ ト で 、 よ り コ ン パ クト な た めで す 。 


GCC 


GCC は すでに 述べ た 方 法 で (1.15.2 on page 210)、 ポ イン タ の テー ブル を 1 つ だ け 使 用 し 
て 仕事 を し て いま す 。 


ARM64: 最適 化 GCC 4.9.1 
入力 値 が 0 の 場合 に トリ ガ さ れる コー ド は な い の で 、GCC は ジャ ンプ テー ブル を より コン 
パク ト に し よう と し 、 入 力 値 と し て 1 か ら 開 始 し ます 。 


ARM64 用 の GCC 4.9.1 は 、 よ り 巧 妙 な トリ ッ ク を 使用 し ます 。 す べ て の オフ セッ ト を 8 ビ 
ッ ト の バイ ト と し て エン コー ド で きま す 。 


すべ て の ARM64 命 令 の サイ ズ が 4 バイ ト で ある こと を 思い 出し て み ま し ょ う 。 


GCC は 、 私 の 小さ な 例 の すべ て の オフ セッ ト が お 互い に 非常 に 近い と いう 事実 を 利用 し て 
いま す 。 ジ ャ ンプ テー ブル は 1 バイ ト で 構成 され て いま す 。 
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Listing 1.158: 最適 化 GCC 4.9.1 ARM64 


#14: 
; 入力 値 は WO に ある 
sub w0, w0, #1 
cmp w0, 21 
; 以下 の 場合 に 分 岐 (unsigned): 
bts .L9 
‚12: 
"default" を 表示 
adrD х0, .LC4 
add x0, x0, :1012:.1С4 
b puts 
.L9: 
: X1 に ジャ ンプ テー ブル の アド レス を ロー ド す る : 
adrD x1, .L4 
add х1, x1, :1012:.14 
WO-input value-1 
; テー ブル か ら バ イト を ロー ド : 
tdrb w0, [x1,w0,uxtw] 
Lrtx ラ ベル の アド レス を ロー ド す る 
adr x1, .Lrtx4 
: テー ブル の 要素 に 4 を か ける (2 ビッ ト 左 シフ ト す る こと で )。Lrtx の アド レス に 足す (また は 引 
<) 


add x0, x1, w0, sxtb #2 
: 計算 し た アド レス に ジャ ンプ する 

br x0 
; この ラベ ル は コー ド (text) セグ メン ト を 指す 
.Lrtx4: 

.section . rodata 

"section" ステ ー ト メン ト の 後に ある も の は 読み 取り 専用 の セグ メン ト (rodata) に 配置 
qu edo ta 


f 


.L 
.byte (.L3 - .Lrtx4) / 4 ; case 1 
.byte (.L3 - .Lrtx4) / 4 ; case 2 
.byte (.L5 - .Lrtx4) / 4 ; case 3 
.byte (.L5 - .Lrtx4) / 4 ; case 4 
.byte (.L5 - .Lrtx4) / 4 ; case 5 
.byte (.L5 - .Lrtx4) / 4 ; case 6 
.byte (.L3 - .Lrtx4) / 4 ; case 7 
.byte (.L6 - .Lrtx4) / 4 ; case 8 
.byte (.L6 - .Lrtx4) / 4 ; case 9 
.byte (.L3 - .Lrtx4) / 4 ; case 10 
.byte (.L2 - .Lrtx4) / 4 ; case 11 
.byte (.L2 - .Lrtx4) / 4 ; case 12 
.byte (.L2 - .Lrtx4) / 4 ; case 13 
.byte (.L2 - .Lrtx4) / 4 ; case 14 
.byte (.L2 - .Lrtx4) / 4 ; case 15 
.byte (.L2 - .Lrtx4) / 4 ; case 16 
.byte (.L2 - .Lrtx4) / 4 ; case 17 
.byte (.L2 - .Lrtx4) / 4 ; case 18 
.byte (.L2 - .Lrtx4) / 4 ; case 19 
.byte (.L6 - .Lrtx4) / 4 ; case 20 
.byte (.L6 - .Lrtx4) / 4 ; case 21 
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(text) 


.byte (.L7 - .Lrtx4) / 4 ; Case 22 
. text 
; "лехі" ステ ー ト メン ト の 後に ある も の は コー ド セ グ メン ト 
.L7: 
; "22" を 表示 
adrp x0, .LC3 
add x0, x0, :1012:.LC3 
b puts 
.L6: 
; "8, 9, 21" を 表示 
adrp x0, .LC2 
add x0, x0, :1012:.LC2 
b puts 
.L5: 
"3, 4, 5" を 表示 
adrp x0, .LC1 
add x0, x0, :1012:.LC1 
b puts 
.L3: 
; "1, 2, 7, 10" を 表示 
adrp x0, .LCO 
add x0, x0, :1012:.LC0 
b puts 
.LC0: 
.string "1, 2, 7, 10" 
.LC1: 
.string "3, 4, 5" 
.LC2: 
.string "8, 9, 21" 
.LC3: 
.string "22" 
.LC4: 
.string "default" 


に 配置 され る 


この 例 を オブ ジェ クト ファ イル に コン パイ ル し 、IDA で 開き まし ょ う 。 


ー ブ ル が あり ます : 


Listing 1.159: jumptable in IDA 


.Fodata 
.Fodata 
.Fodata 
.Fodata 
.Fodata 
.Fodata 
.Fodata 
.Fodata 
.Fodata 
.Fodata 
.Fodata 
.Fodata 
.Fodata 
.Fodata 
.Fodata 


:0000000000000064 
:0000000000000064 
: 0000000000000064 
: 0000000000000065 
: 0000000000000066 
: 0000000000000067 
: 0000000000000068 
: 0000000000000069 
:000000000000006A 
:000000000000006B 
:000000000000006C 
:000000000000006D 
:000000000000006E 
:000000000000006F 
:0000000000000070 


AREA .rodata, 
; ORG 0x64 

DCB 
DCB 
DCB 
DCB 
DCB 
DCB 
DCB 
DCB 
DCB 
DCB 
DCB ОхЕ7 
DCB ОхЕ7 
DCB ОхЕ7 


$d 


XO шу UJ ооо O) O (O О 


DATA, READONLY 


case 
case 
case 
case 
case 
case 
case 
case 
case 
case 
case 
case 
case 


о OO +I OY Ul 43 UJ N == 


= O (O OO +I O. Q! > ÜQ N = 


Hd 


сул L ON P 
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.rodata:0000000000000071 DCB ӨхЕ7 ; Case 14 
.rodata:0000000000000072 DCB ӨхЕ7 ; Case 15 
.rodata:0000000000000073 DCB ӨхЕ7 ; Case 16 
.rodata:0000000000000074 DCB ӨхЕ7 ; case 17 
. rodata:0000000000000075 DCB OxF7 ; case 18 
. rodata : 0000000000000076 DCB ӨхЕ7 ; case 19 
. rodata : 0000000000000077 DCB 3 ; case 20 
. rodata : 0000000000000078 DCB 3 ; case 21 
. rodata : 0000000000000079 DCB 0 ; Case 22 


.Fodata:000000000000007B ; .rodata ends 


し た が っ て 、1 の 場合 、9 は 4 で 乗算 され 、Lrtx4 ラベ ル の アド レス に 追加 され ます 。 
22 の 場合 、0 に は 4 が 掛け られ 、 結 果 は 0 に な り ま す 。 


Lrtx4 ラベ ル の 直後 に L7 ラベ ル が あり ます 。 こ の ラベ ル で は 、「22」 を 出力 する コー ド 
を 見 つけ る こと が で きま す 。 


コー ド セ グ メン ト に は ジャ ンプ テー ブル は あり ませ ん 。 別 の .rodata セ クシ ョ ン に 割り 当 
て られ て いま す (コー ド セ ク ショ ン に 配置 する 特別 な 必要 は あり ませ ん )。 


負 の バイ ト (0xF7) も あり 、「default」 文字 列 (.L2) を 出力 する コー ド に ジャ ンプ する 
た め に 使用 され ます 。 


第 1.15.4 節 フォ ー ル スル ー 


switch() 演算 子 の 別 の ポピュラー な 使い 方 は 「 フ ォ ー ル スル ー」 で す 。 単純 な サン プル 
が あり ます 。 7: 


bool is whitespace(char c) { 
switch (c) í 
case ' ': // fallthrough 
case '\t': // fallthrough 
case '\г': // fallthrough 
case '\п': 
return true; 
default: // not whitespace 
return false; 


や や 難し いも の を Linux カ ー ネ ル 3?9: 


char ncol, nco2; 


void f(int if_freq_khz) 
{ 


switch (if_freq_khz) { 


97https://github.com/azonalon/prgraas/blob/master/progllib/lecture examples/is _ 
whitespace.C か ら コ ピー ペー スト 

38https://github.com/torvalds/linux/blob/master/drivers/media/dvb- frontends/lgdt3306a. 
c か ら コ ピー ペー スト 
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default: 


printf("IF=%d KHz is not supportted, 3250 assumed\n/ 


s", if freq khz); 
/* fallthrough */ 
case 3250: /* 3.25Mhz */ 
ncol = 0x34; 
nco2 - 0x00; 
break; 
case 3500: /* 3.50Mhz */ 
ncol = 0x38; 
nco2 - 0x00; 
break; 
case 4000: /* 4.00Mhz */ 
ncol = 0x40; 
nco2 - 0x00; 
break; 
case 5000: /* 5.00Mhz */ 
ncol = 0x50; 
nco2 - 0x00; 
break; 
case 5380: /* 5.38Mhz */ 
ncol = 0x56; 
nco2 = 0x14; 
break; 
} 
}; 
Listing 1.160: Optimizing ССС 5.4.0 х86 
.LCO: 
.string "IF=%d KHz is not supportted, 3250 assumed\n" 
f: 
sub esp, 12 
mov eax, DWORD PTR [esp+16] 
cmp eax, 4000 
je .L3 
19 .L4 
стр еах, 3250 
je L5 
cmp eax, 3500 
jne .L2 
mov BYTE PTR nco1, 56 
mov BYTE PTR nco2, 0 
add esp, 12 
ret 
‚14: 
стр еах, 5000 
je .L7 
стр еах, 5380 
jne ‚12 
тоу ВҮТЕ PTR ncol, 86 
mov BYTE PTR nco2, 20 
add esp, 12 
ret 
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.L2: 
sub esp, 8 
push eax 
push OFFSET FLAT:.LCO 
call printf 
add esp, 16 

(L5: 
mov BYTE PTR ncol, 52 
mov BYTE PTR nco2, 0 
add esp, 12 
ret 

.L3: 
mov BYTE PTR nco1, 64 
mov BYTE PTR nco2, 0 
add esp, 12 
ret 

.L7: 
mov BYTE PTR ncol, 80 
mov BYTE PTR nco2, 0 
add esp, 12 
ret 


ВО A 7311232506 v 25 Zig d do eiae. .LSDRIVEBSTEMACZET. LAL. Ж 
々 は 反対 側 か ら こ の ラベ ル に 行く こと が で きま す : printf( ) 呼び 出し と .L5 ラベ ル の 間 
に は ジャ ンプ が な いこ と が わか り ま す 。 

switch) 文 が バグ の 原因 と な る こと が 理解 で きま す 。p/ea た を 1 つ 忘 れる と は あな た の 
switch) 文 を フォ ー ル スル ー に 変換 し 、1 つ の ブロ ッ ク の 代わ り に いく つか の ブロ ッ ク が 
実行 され ます 。 


第 1.15.5 節 練習 問題 
練習 問題 #1 


コン パイ ラ が より 小さ な コー ド を 生成 する こと が で きる よう に 1.15.2 on page 204 の C の 
例 を 修正 する こと は 可能 で す が 、 ま っ た く 同 じ よ うに 動作 し ます 。 や っ て みて くだ さい 。 


第 1.16 節 ルー プ 
第 1.16.1 節 単純 な 例 
x86 


x86 命 令 セ ッ ト に は ECX と いう レジ スタ が 値 を チェ ッ ク す る 特別 な LOOP 命令 に な り ま す 。 
そし て 0 で な けれ ば 、 デ クリ メン ト ECX L, LOOP オペ ラン ド の ラベ ル に 制御 フロ ー を 渡 
し ます 。 お そら く こ の 命令 は あま り 便 利 で は な く 、 自 動 的 に それ を 発行 する 最新 の コン パ 
イラ は あり ませ ん 。 し た が っ て 、 コ ー ド の どこ か で この 命令 を 見 る と 、 こ れ は 手 作 業 で 書 
か れ た アセ ン ブ リ コー ド で ある 可能 性 が 高い で す 。 


C/C++ の ルー プ で は 通常 for( )、white( ) また は do/white( ) 文 を 使用 し て 構成 され 
ます 。 
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for() を 使っ て み ま し ょ う 。 

この 文 は ルー プ の 初期 化 を 定義 し (ルー プ カ ウ ンタ タ を 初期 値 に セッ ト )、 ル ー プ 条件 (が リ 
ミッ ト よ り 大 きい か め ② が 各 イ テレ ー Yay (イン クリ メン ト / デ タリ メン ト ) CRASH, 
ルー プ ボ ディ も 当然 実行 され ます 。 


for (initialization; condition; at each iteration) 


loop body; 
} 


生成 され た コー ド は 4 つの 部 分 で 構成 され て いま す 。 
簡単 な 例 か ら 始 め ま し ょ う : 


#include <stdio.h> 


void printing function(int i) 


{ 
printf ("f(%d)\n", i); 
}; 
int main() 
{ 
int i; 
for (i=2; i«10; i++) 
printing function(i); 
return 0; 
}; 


結果 (MSVC 2010): 
Listing 1.161: MSVC 2010 


_ig = - 
_main PROC 
push ebp 
mov ebp, esp 
push ecx 
mov DWORD PTR i$[ebp], 2 ; ルー プ 初 期 化 
jmp SHORT $LN3@main 
$LN2@main: 
mov eax, DWORD PTR i$[ebp] ; 各 イ テレ ーション の 後に くる 場所 
add eax, 1 ; (i) に 1 を 加え る 
mov DWORD PTR i$[ebp], eax 
$LN3@main: 
cmp DWORD PTR i$[ebp], 10 ; 各 イ テレ ーション の 前 に この 条件 が チェ ッ ク さ れる 
jge SHORT $LN1@main ; (i) が 16 以 上 の 場合 、 ル ー プ が 終了 する 


mov ecx, DWORD PTR _i$[ebp] ; ルー プ ボ ディ : printing function(i) を 呼び 出 


push ecx 
call | printing function 
add esp, 4 
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jmp SHORT $LN2@main ; ルー プ 開 始 に ジャ ンプ 
$LN1@main: : ルー プ エ ン ド 

xor eax, eax 

mov esp, ebp 

pop ebp 

ret 0 
_main ENDP 


我々 が 見 る よう に 、 特 別 な も の は あり ませ ん 。 
GCC 4.4.1 は ほぼ 同 じ コ ー ド を 出力 し ます が 、 微 妙 な 違い が 1 つ あ り ま す : 
Listing 1.162: GCC 4.4.1 


main proc near 
var_20 = dword ptr -20һ 
Var 4 = dword ptr -4 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 20h 
mov [esp+20h+var 4], 2 : (i) 初期 化 
jmp short loc 8048476 
loc 8048465: 
mov eax, [esp+20h+var 4] 
mov [esp+20h+var 20], eax 
call printing function 
add [esp+20h+var 4], 1 ; (i) イン クリ メン ト 
loc 8048476: 
cmp [esp+20h+var 4], 9 
jle short loc 8048465 ; i<=9 な ら 、 ル ー プ を 継続 
mov eax, 0 
leave 
retn 
main endp 


最適 化 を 有効 に し て (/0x) 取得 し た 内 容 を 見 て み ま し ょ う 。 
Listing 1.163: 最適 化 MSVC 


_main PR0C 
push esi 
mov esi, 2 
$LL3@main: 
push esi 
call | printing function 
inc esi 
add esp, 4 
cmp esi, 10 ; 0000000aH 


jl SHORT $LL3@main 
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xor eax, eax 
pop esi 
ret 0 

_main ENDP 


ここ で 起こ る の は 、。 変数 の スペ ー ス が ロー カル スタ ッ ク に は も う 割 り 当 て られ ず 、ES1 
の た め の 個 別 の レジ スタ を 使用 する と いう こと で す 。 こ れ は 、 ロ ー カ ル 変 数 が あま りな い 
よう な 小さ な 関数 で 可能 で す 。 

と て も 重要 な こと は 、f( ) 関数 が ESI の 値 を 変更 し て は な ら な いこ と で す 。 私 た ちの コン 
パイ ラ は 確か に そう し て いま す 。 コンパ イラ が f( ) で ESI レジ スタ を 使用 する こと を 決 
定 し た 場合 、 そ の 値 は 関数 の プロ ロー グ に 保存 され 、 関 数 の エピ ロー グ で 復元 され な けれ 
ば な り ま せん 。 リ スト の よう に な り ま す 。 関数 の 開始 と 終了 で の PUSH ESI/POP ESI に 
注意 し て くだ さい 。 


最適 化 を 最大 に し て GCC 4.4.1 を 試し て み ま し ょ う (-03 オプ ショ ン ) : 
Listing 1.164: 最適 化 GCC 4.4.1 


main proc near 

var_10 = dword ptr -10һ 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 10h 
mov [esp+10h+var 10], 2 
call printing function 
mov [esp+10h+var_ 10], 3 
call printing function 
mov [esp+10h+var 10], 4 
call printing_function 
mov [esp+10h+var 10], 5 
call printing function 
mov [esp+10h+var 10], 6 
call printing function 
mov [esp+10h+var 10], 7 
call printing_function 
mov [esp+10h+var 10], 8 
call printing function 
mov [esp+10h+var_ 10], 9 
call printing function 
xor eax, eax 
leave 
retn 

main endp 


えっ 、GCC は 単に 私 た ちの ルー プ を 巻き 戻し て し まい まし た 。 

Loop unwinding は 反復 回 数 が 多く な く 、 す べ て の ルー プ サ ポ ー ト 命令 を 削除 する こと で 
実行 時 間 を 短縮 で きる 場合 に 利点 が あり ます 。 逆 の 場合 で は 、 明 ら か に コー ド が 大 きく な 
り ま す 。 
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大 規模 な 関数 は 大 量 の キャ ッシュ フッ ト プ リ ント 33 を 必要 と する 可能 性 が ある た め 、 大 き 
な アン ロー ルル ー プ は 現代 で は 推奨 され ませ ん 。 


OK. 変数 の 最大 値 を 100 に 増やし て 、 も う 一 度 試し て み ま し ょ う 。GCC の 結果 は 以下 の 
通り : 


Listing 1.165: GCC 


public main 


main proc near 

var 20 = dword ptr -20h 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
push ebx 
mov ebx, 2 ; 1=2 
sub esp, 1Ch 


; ラベ ル toc 80484D0 (ルー プ ボ ディ の 開始 場所 ) を 16 バ イト 境界 で アラ イン メン ト 
пор 


loc 80484D0: 
; (i) を 第 一 引数 と し て printing function() に 渡す 


mov [esp+20h+var 20], ebx 
add ebx, 1 ; i++ 
call printing_function 
cmp ebx, 64h ; 1==1007\? 
jnz short loc 80484D0 : そう で な けれ ば 継続 
add esp, 1Ch 
xor eax, eax ; 0 を リタ ー ン 
pop ebx 
mov esp, ebp 
pop ebp 
retn 

main endp 


これ は 、EBX レ ジス タ が i 変数 に 割り 当て られ て いる こと を 除い て 、 最 適 化 あ り の MSVC 
2010 (/0x ) と 非常 に よく 似 て いま す 。 


GCC は この レジ スタ が f() 関数 の 内 部 で 変更 され な いこ と を わか っ て いま す 。 も し そう 
で あれ ば 、main( ) 関数 の よう に 関数 プロ ロー グ に 保存 され 、 エ ピロ ー グ で 復元 され ます 。 


39 非 常に よい 記事 : [Ulrich Drepper, What Every Programmer Should Know About Memory, (2007)]199 4 
ン テ ル の ルー プア ン ロ ー リ ング に 関す る その 他 の 推奨 事項 は こち ら : [Intel® 64 and IA-32 Architectures 
Optimization Reference Manual, (2014)3.4.1.7] 
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x86: OllyDbg 


/0x と /0b0 1 オプ ショ ン を 使用 し て MSVC 2010 の サン プル を コン パイ ル し 、OllyDbg KA 
5 К し て み ま し + 25 


OllyDbg は 単純 な ルー プ を 検出 し 、 便 宜 上 、 角 カッ コ で 表示 し て くれ ます 。 


CPU - main thread, module loops 2 


5 
OFFSET HS 

s 56 899999999 

. BE 82000000 ‹ 00000000 

> 56 I IP gg24FEB 

ЕВ D4FFFFFF || CRLL_toops_2・99381999 ве 
ADD ESP, 4 00323378 loops_2 

CHP ESI OA > 00331020 


JL SHORT Loops _2. 00331026 . ES € 
XOR EAX, EAX ; - 
POP ESI > 


1.54: OllyDbg: main( ) 開始 


By tracing (FB 一 ステ ッ プ オー バー) we see ESI incrementing. Here, for instance, 
ESI =i = 6: 


トレ ー ス する こと に より (F8。 ス テッ プ オ ー バ )、ESI が 増加 する こと が わか り ま す 。 こ こ 
で 、 例 えば 、ESI =i= 6: 


ain thread, module loops_2 


$ 56 PUSH ESI 
. 62600606  |MOU ESI,2 
> FUSH 


6 ESI 
D4FFFFFF CALL loops_2. 00331000 
6 INC ESI 
ADD ESP, 4 
CMP_ESI, ВЯ 
JL SHORT loops_2. 00331026 
XOR EAX, EAX 
POP ESI 


EIP 00 


331020 1 


DD 


PUSH loops_2.00331406 


I4MONDVO 


1.55: OllyDbg: ルー プ ボ ディ が =6 で 実行 


9 は 最後 の ルー プ 値 で す 。 そのため 、JL は イン クリ メン ト 後 に 実行 され ず 、 関 数 は 終了 し 
ます 。 


6 
02000000 


D4FFFFFF 
INC ESI 

ADD ESP,4 
CHP E 


OP ESI 
RETN 


PUSH loops. 


937|| 。 SE d 
EHX-0000000G SS T g 


H ESI 
CALL loops_2. 00331000 


SI ØA 
JL SHORT loops_2. 00331026 
NOR ERX, EAX 


2. 00331406 


1.56: OllyDbg: ESI = 10、 ル ー プ 終了 


x86: tracer 
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CPU - main thread, module loops_2 
181C 3 ET 


LastErr ERROF 


見 て きた よう に 、 デ バッ ガ で 手動 で トレ ー ス する の は あま り 便 利 で は あり ませ ん 。 そ れ が 


トレ ー サ を 試み る 理由 で す 。 


コン パイ ル さ れ た サン プル を IDA で 開き 、 命 令 PUSH ESI (f() へ 1 つ 引数 を 渡す ) OF 


ドレ ス を 見 つけ ます 。 こ の 場合 は 0х401026 で 、 ト レー サ を 実行 し て み ま す 。 


tracer.exe -l:loops 2.exe bpx=Loops 2.exe!0x00401026 


BPX は アド レス に ブレ ー ク ポイ ント を 


ます 。 


tracer.log で は 、 こ の よう に な り ま す 。 


設定 する だ け で 、tracer は レジ スタ の 状態 を 出力 し 


PID=12884|New process loops 2. 
(0) loops 2.exe!0x401026 
EAX=0x00a328c8 EBX=0x00000000 
EST=0x00000002 EDI=0x00333378 
EIP=0x00331026 

FLAGS=PF ZF IF 

(0) loops 2.exe!0x401026 
EAX=0x00000005 EBX=0x00000000 
ESI=0x00000003 EDI=0x00333378 
EIP=0x00331026 

FLAGS=CF PF AF SF IF 

(0) loops 2.exe!0x401026 
EAX=0x00000005 EBX=0x00000000 
EST=0x00000004 EDI=0x00333378 
EIP=0x00331026 

FLAGS=CF PF AF SF IF 

(0) loops 2.exe!0x401026 
EAX=0x00000005 EBX=0x00000000 
ESI-0x00000005 EDI=0x00333378 
EIP=0x00331026 

FLAGS=CF AF SF IF 


exe 


ECX-0x6f0f4714 
EBP=0x0024fbfc 


ECX=0x6f0a5617 
EBP=0x0024fbfc 


ECX=0x6f0a5617 
EBP=0x0024fbfc 


ECX=0x6f0a5617 
EBP=0x0024fbfc 


EDX=0x00000000 
ESP-0x0024fbb8 


EDX=0x000ee188 
ESP=0x0024 fbb8 


EDX=0x000ee188 
ESP=0x0024 fbb8 


EDX=0x000ee188 
ESP=0x0024 fbb8 
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(0) loops_2.exe!0x401026 
EAX=0x00000005 EBX=0x00000000 
ESI=0x00000006 EDI=0x00333378 
EIP=0x00331026 

FLAGS=CF PF AF SF IF 

(0) loops_2.exe!0x401026 
EAX=0x00000005 EBX=0x00000000 
ESI=0x00000007 EDI=0x00333378 
EIP=0x00331026 

FLAGS=CF AF SF IF 

(0) loops 2.exe!0x401026 
EAX=0x00000005 EBX=0x00000000 
ESI-0x00000008 EDI=0x00333378 
EIP-0x00331026 

FLAGS-CF AF SF IF 

(0) loops 2.exe!0x401026 
EAX=0x00000005 EBX=0x00000000 
ESI-0x00000009 EDI=0x00333378 
EIP-0x00331026 

FLAGS-CF PF AF SF IF 
PID-12884|Process loops 2.exe 


ECX=0x6f0a5617 
EBP=0x0024fbfc 


ECX=0x6f0a5617 
EBP=0x0024fbfc 


ECX=0x6f0a5617 
EBP=0x0024fbfc 


ECX=0x6f0a5617 
EBP=0x0024fbfc 


EDX=0x000ee188 
ESP=0x0024fbb8 


EDX=0x000ee188 
ESP=0x0024 fbb8 


EDX=0x000ee188 
ESP=0x0024 fbb8 


EDX=0x000ee188 
ESP=0x0024 fbb8 


exited. ExitCode=0 (0x0) 


ESI レジ スタ の 値 が 2 か ら 9 に 変化 する 様子 を 見 て いま す 。 


tracer は それ 以上 に も 、 関 数 内 の すべ て の アド レス の レジ スタ 値 を 収集 で きま す 。 こ れ を 
trace と いい ます 。 す べ て の 命令 が トレ ー ス され 、 興 味 深 い レ ジス タ 値 が すべ て 記録 され 


ます 。 


次 に 、 コ メン ト を 追加 する IDA.idcC ス クリ プ ト が 生成 され ます 。 
main() 関数 の アド レス は 0x00401020 で あり 、 次 の よう に 実行 され ます 。 


し た が っ て 、IDA で は 、 


tracer.exe -l:loops 2.exe bpf=loops 2.exe!0x00401020, їгасе: сс 


BPF は 、 関 数 に ブレ ー ク ポイ ント を 設定 し ます 。 
その 結果 、toops 2.exe.idc お よび loops 2.exe clear.idc スク リプ ト が 取得 され 


ます 。 
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loops 2.exe.idc £ IDA に ロー ド す る と 次 の よう に な り ま す 。 


-text: 

-text: ; =============== SUBROUTINE ニニ ニニ ニニ ニニ ニニ ニニ ニニ ニニ ニニ ニニ ニニ ニニ ニニ ニニ ニニ ニニ ニニ ニニ ニニ ニー 
-text: 

-text: 

-text: ; int  cdecl main(int argc, const char **argu, const char *xenup) 

-text: _mai proc near ; CODE XREF: | tmainCRTStartup+11D]Jp 
-text: 

-text: = dword ptr 4 

-text: = dword ptr 8 


.text: 


dword ptr всп 
.text: 

-text: push esi ; ESI=1 
-text:00401021 mou esi, 2 
. text : 60461626 

- text: 66461626 loc_461626: 


CODE XREF: _main+13]j 


- text : 66461626 push esi s ESI-2..9 

-text : 06461627 call sub_461666 ; tracing nested maximum level (1) reached, 
- text : 6646162C inc esi s ESI-2..9 

-text :6646162D add esp, 4 ; ESP-8x38fcbc 

-text:80581038 cmp esi, BRh ; ESI=3..6xa 

-text:00581033 ji short loc 401826 ; SF-false,true OF=false 

-text : 06461635 xor eax, eax 

-text : 66401637 pop esi 

-text : 664616038 retn ; EAX=6 

- text: 66401638 main endp 


1.57: .idc-script を IDA で ロー ド し た 


ESI は ルー プ 本 体 の 開始 時 に は 2 か ら 9、 イ ンク リ メ ン ト 後 は 3 か ら 0xA (10) に な り ま す 。 
main( ) が EAX 0 で 終了 し て いる こと も わか り ま す 。 


tracer は また 、 各 命令 が 何 回 実行 され た か に 関す る 情報 と レジ スタ 値 を 含む loops 2.exe.txt 
も 生成 し ます 。 


Listing 1.166: loops 2.exe.txt 


0x401020 (.text+0x20), e= 1 [PUSH ESI] ESI=1 

0x401021 (.text+0x21), e= 1 [MOV ESI, 2] 

0x401026 (.text+0x26), e= 8 [PUSH ESI] EST=2. .9 

0x401027 (.text+0x27), e= 8 [CALL 8D1000h] tracing nested maximum / 
s level (1) reached, skipping this CALL 8D1000h=0x8d1000 

0x40102c (.text+0x2c), e= 8 [INC ESI] EST=2 . .9 

0x40102d (.text+0x2d), e= 8 [ADD ESP, 4] ESP=0x38fcbc 

0x401030 (.text+0x30), e= 8 [CMP ESI, 0Ah] ESI=3..0xa 

0x401033 (.text+0x33), e= 8 [JL 8D1026h] SF=false,true OF=false 

0x401035 (.text+0x35), e= 1 [XOR EAX, EAX] 

0x401037 (.text+0x37), e= 1 [POP ESI] 

0x401038 (.text+0x38), e= 1 [RETN] EAX=0 


ここ で は grep を 使う こと が で きま す 。 


ARM 
非 最適 化 Keil 6/2013 (ARM モ ー ド ) 
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main 
STMFD 5Р!, {R4,LR} 
MOV R4, #2 
B loc 368 
loc 35C ; CODE XREF: main+1C 
MOV RO, R4 
BL printing function 
ADD R4, R4, #1 
loc 368 ; CODE XREF: main+8 
CMP R4, #0xA 
BLT loc 35C 
MOV RO, #0 


LDMFD = SP!, {R4,PC} 


ルー プ カ ウ ンタ ilk R4 レジ スタ に 格納 され ます 。MOV RA, #2 命令 は を ちょ うど 初期 
化し ます 。MOV RO, RA, 、 お よび BL printing function 命令 は 、f() 関数 の 引数 を 
準備 する 最初 の 命令 と 2 番目 の 関数 を 呼び 出す ルー プ の 本 体 を 構成 し ます 。ADD R4, R4, 
#1 命令 は 、 各 繰 り 返 し で i 変数 に 1 を 加算 する だ け で す 。 СМР R4, #0ХА は? と OXA (10) 
を 比較 し ます 。 次 の 命令 BLT (Branch Less Than) は 、? が 10 未 満 の 場合 に ジャ ンプ し 
ます 。 それ 以外 の 場合 は 、R0O に 0 が 書き 込ま れ ま す (関数 が 0 を 返す た め )。 そ し て 関数 の 
実行 が 終了 し ます 。 


最適 化 Keil 6/2013 (Thumb モ ー ド ) 


_main 
PUSH {R4,LR} 
MOVS R4, #2 
loc 132 ; CODE XREF: _main+E 
MOVS RO, R4 
BL printing function 
ADDS R4, R4, #1 
CMP R4, #0xA 
BLT Loc 132 
MOVS RO, #0 
POP {R4,PC} 
実質 的 に 同じ で す 。 


最適 化 Xcode 4.6.3 (LLVM) (Thumb-2 モ ー ド ) 


_main 
PUSH {R4,R7,LR} 
MOVW RA, #0x1124 ; "%d\n" 
MOVS R1, #2 
MOVT .W R4, #0 


ADD R7, SP, #4 


235 


ADD R4, PC 
MOV RO, R4 
BLX _printf 
MOV RO, R4 
MOVS R1, #3 
BLX | printf 
MOV RO, R4 
MOVS R1, #4 
BLX | printf 
MOV RO, R4 
MOVS R1, #5 
BLX | printf 
MOV RO, R4 
MOVS R1, #6 
BLX _printf 
MOV RO, R4 
MOVS R1, #7 
BLX | printf 
MOV RO, R4 
MOVS R1, #8 
BLX | printf 
MOV RO, R4 
MOVS R1, #9 
BLX _ printf 
MOVS RO, #0 
POP {R4,R7,PC} 


実際 、 これ は 私 の fO 関数 に あり まし た : 


void printing function(int i) 


{ 
}; 


printf ("%d\n", i); 


だ か ら 、LLVM は ルー プ を 展開 し た だ け で な く 、 私 の 非常 に 単純 な 関数 f( ) を イン ライ ン 
化し 、 呼 び 出 す の で は な く 本 体 を 8 回 挿入 し まし た 。 


これ は 、 関 数 が (私 の 例 の よう に ) と て も 簡単 で 、( こ この よう に ) あま り 呼 び 出 され な い 
と き に 可能 で す 。 


ARM64: 最適 化 GCC 4.9.1 


Listing 1.167: 最適 化 GCC 4.9.1 


printing function: 

; printf() の 第 二 引 数 を 準備 : 
mov wl, wO 

; "f(%d)Nn" 文字 列 の アド レス を ロー ド 
adrp х0, .LCO 
add x0, x0, :1012:.1С0 

; 分 岐 と リタ ー ン の 命令 で は な く 単 な る 分 岐 の 命令 
b printf 
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main: 

: ロー カル スタ ッ ク に FP と LR を 保存 
stp x29, x30, [sp, -32]! 

: スタ ッ ク フ レー ム を 設定 
add x29, sp, 0 

; X19 レ ジス タ の 内 容 を ロー カル スタ ッ ク に 保存 
str x19, [sp,16] 


: W19 レ ジス タ を カウ ンタ と し て 利用 し ます 
; W19 に 初期 値 と し て 2 を 設定 し ます 


mov w19, 2 

.L3: 

; printing function() の 最初 の 引数 を 準備 し ます : 
mov w0, w19 

; カウ ンタ レジ スタ を イン クリ メン ト 
add w19, w19, 1 

; WO は イン クリ メン ト す る 前 の カウ ンタ の 値 を 保持 し て いま す 
bl printing function 

; RT? 
cmp w19, 10 

; 終了 で な けれ ば 、 ル ー プ ボディ の 開始 に ジャ ンプ 
bne .L3 

; 0 を リタ ー ン 
mov w0, 0 


X19 レ ジス タ の 内 容 を リス ト ア 
tdr x19, [sp, 16] 

FP と LR の 値 を リス ト ア 
tdp x29, x30, [sp], 32 
ret 


.LCO: 
.string "f(%d)Nn" 


ARM64: 非 最 適 化 GCC 4.9.1 


Listing 1.168: 非 最適 化 GCC 4.9.1 -fno-inline 


.LCO: 
.string "f(%d)\n" 
printing function: 
; ロー カル スタ ッ ク に FP と LR を 保存 し ます 
stp x29, x30, [sp, -32]! 
: スタ ッ ク フ レー ム を 設定 し ます 
add x29, sp, 0 
; WO レジ スタ の 内 容 を 保存 し ます 
str w0, [x29,28] 
; "f(%d)Nn" 文字 列 の アド レス を ロー ド し ます 
adrp x0, .LCO 
add x0, x0, :1012:.LC0 
: ロー カル スタ ッ ク か ら 人 入力 値 を リロ ー ド し て W1 レ ジス タ に 書き 込み ます 
tdr м1, [x29,28] 
printf() を 呼び 出し ます 
bl printf 
FP と LR の 値 を リス ト ア し ます 
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1ар х29, x30, [sp], 32 
геї 
main: 
; ロー カル スタ ッ ク に FP と LR を 保存 し ます 
stp x29, x30, [sp, -32]! 
: スタ ッ ク フ レー ム を 設定 し ます 
add x29, sp, 0 
; カウ ンタ を 初期 化 
mov w0, 2 


: ロー カル スタ ッ ク 上 に アロ ケー ト さ れ た と ころ に 保存 
str w0, [x29,28] 
: ルー プ ボ ディ を スキ ッ プ し 、 ル ー プ 条件 チェ ッ ク 命 令 に ジャ ンプ し ます 
b .L3 
‚14: 
; WO9 に カウ ンタ 値 を ロー ド し ます 
; printing function( ) へ の 第 一 引数 に な り ま す 
tdr w0, [x29, 28] 
; printing function() を 呼び 出し ます 
bl printing function 
; カウ ンタ 値 を イン クリ メン ト 
tdr w0, [x29,28] 
add w0, м0, 1 
str w0, [x29,28] 
.L3: 
; ルー プ 条 件 の チェ ッ ク 
; カウ ンタ 値 の ロー ド 
tdr w0, [x29, 28] 
; 9 か どう か 
cmp w0, 9 
; 9 以下 か ? そ うな ら ル ー プ ボディ の 開始 に ジャ ンプ 
: そう で な けれ ば 何 も し な い 


bte .L4 
; 9 を リタ ー ン 
mov w0, 0 
; FP と LR 値 を リス ト ア 
tdp x29, x30, [sp], 32 
ret 


MIPS 
Listing 1.169: GCC 4.4.5 非 最適 化 (IDA) 


main: 


; TDA は ロー カル スタ ッ ク 内 の 変数 名 を 認識 し ませ ん 


; 手動 で 名 前 を つけ ます 
i = -0x10 
saved ЕР = -8 
saved RA = -4 


; 関数 プロ ロー グ : 
addiu $sp, -0x28 
SW $га, Ox28+saved RA($sp) 
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SW $fp, Ox28+saved FP($sp) 
move $fp, $sp 
; 2 で カウ ンタ を 初期 化し 、 こ の 値 を ロー カル スタ ッ ク に 格納 する 


li $у0, 2 
SW $v0, 0x28+i($fp) 
; 疑似 命令 、 実 際 に は "BEO $ZERO, $ZERO, loc 9С" 
b loc 9C 
or $at, $zero ; 分 岐 遅延 スロ ッ ト , NOP 
loc 80: # CODE XREF: main+48 
; ロー カル スタ ッ ク か ら カ ウン タ の 値 を 読み 込み 、print function( ) を 呼び 出し ます 。 
tw $a0, Ox28+i($fp) 
jal printing function 
or $at, $zero : 分 岐 遅延 スロ ッ ト , NOP 
; カウ ンタ を ロー ド し 、 イ ンク リ メ ン ト し 、 カ ウン タ を 保存 し ます 
tw $v0, Ox28+1($fD ) 
or $at, $zero ; NOP 
addiu $v0, 1 
Sw $v0, 0x28+1($fD ) 
loc 9C: # CODE XREF: main+18 
; カウ ンタ が 190 か チェ ッ ク 
tw $v0, 0x28+1($fD ) 
or $at, $zero ; NOP 


slti $v0, ОХА 
; 16 未 満 の 場合 、toc 80( ル ー プ ボディ 開始 ) に ジャ ンプ : 
bnez $у0, loc 80 


or $at, $zero ; 分 岐 遅 延 ス ロッ ト , NOP 
; 終了 し て 9 を リタ ー ン : 
move $v0, $zero 


; 関数 エピ ロー グ : 
move $sp, $fp 


lw $га, Ox28+saved RA($sp) 

tw $fp, Ox28+saved FP($sp) 

addiu $sp, 0x28 

jr $ra 

or $at, $zero ; 分 岐 遅延 スロ ッ ト , NOP 


新しい 命令 は В で す 。 実際 に は 擬似 命令 (BEQ ) CT. 


も う 一 つ 
生成 され た コー ド で は 、, を 初期 化し た 後 、i の 条件 が 最初 に チェ ッ ク さ れ 、 ル ー プ 本 体 が 
実行 され た 後に の み 、 ル ー プ の 本 体 が 実行 され な いこ と が わか り ま す 。 そ れ は 正しい で す 。 


ルー プ の 条件 が 最初 に 満た され な い 場 合 、 ループ の 本 体 は 実行 され て は な ら な いか ら で す 。 
これ は 次 の 場合 に 可能 で す : 


for (i=0; i«total entries to process; i++) 
loop body; 


total entries to process が 0 の 場合 、 ル ー プ の 本 体 は まっ た く 実 行 さ れ て は な り ま せん 。 
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これ は 、 実 行 前 に 条件 が チェ ッ ク さ れ て いる 理由 で す 。 


し か し 、 最 適 化 され た コン パイ ラ は 、 こ こ で 説明 し た 状況 が 不可 能 で ある こと が 確か な 場 
合 (例え ば Keil、Xcode (LLVMM)、MSVC な どの コン パイ ラ を 最適 化 モ ー ド で 使用 する 場合 
な ど )、 条 件 チェ ッ ク と ルー プ 本 体 を スワ ッ プ で きま す 。 


第 1.16.2 節 メモ リブ ロッ クコ ピー ルー チン 


実 世 界 の メモ リコ ピー ルー チン は 、 反 復 ご と に 4 バイ ト ま た は 8 バイ ト を コピ ー し 、SIMD191、 
ベク トル 化 な ど を 使用 し ます 。 


し か し 、 話 を 簡単 に する た め に 、 こ の 例 は 可能 な 限り 簡単 に し て いま す 。 


#include <stdio.h> 


void my_memcpy (unsigned char* dst, unsigned char* src, size t cnt) 

t 
size t i; 

for (i20; i«cnt; i++) 

dst[i]ssrc[i]; 


}; 
簡単 な 実装 
Listing 1.170: GCC 4.9 x64 optimized for size (-Os) 
my memcpy: 
; RDI = コピ ー 先 アド レス 
; RSI = コピ ー 元 アド レス 
; RDX = ブロ ッ ク の サイ ズ 


; カウ ンタ (i) を 0 で 初期 化 


xor eax, eax 
.L2: 
; 全 バ イト を コピ ー し た ら 終 了 す る 
стр гах, rdx 
je ‚15 
; RST++ の バイ ト を ロー ド す る : 
mov cl, BYTE PTR [rsi+rax] 
: バイ ト を RDT+i に 保存 する 
mov BYTE PTR [rdi+rax], cl 
inc rax ; i++ 
jmp .L2 
«L5: 
ret 
Listing 1.171: GCC 4.9 ARM64 optimized for size (-Os) 
my memcpy: 


; X09 = コピ ー 先 アド レス 
; ХІ = コピ ー 元 アド レス 


101Single Instruction, Multiple Data 
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; X = ブロ ッ ク の サイ ズ 


; カウ ンタ (i) を 6 で 初期 化 


mov x3, 0 

‚12: 

; 全 バ イト を コピ ー し た ら 終 了 す る 
стр x3, х2 
bed .L5 


; X1++ の バイ ト を ロー ド す る : 
tdrb м4, [x1,x3] 
: バイ ト を X6+i に 保存 する 
strb w4, [x0,x3] 


add x3, x3, 1 ; it 
b .L2 

L5: 
ret 


Listing 1.172: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


my memcpy PROC 


; RO = コピ ー 先 アド レス 
>; R1 = コピ ー 元 アド レス 
; R = ブロ ッ ク の サイ ズ 
PUSH {tr4, lr} 
; カウ ンタ (i) を 6 で 初期 化 
MOVS 「3 ,#0 
: 関数 の 終わ り で 条件 が チェ ッ ク さ れ 、 ジ ャ ンプ する 
B [L0.12| 
[L0.6| 
; R1++ の バイ ト を ロー ド す る : 
LDRB r4,[r1,r3] 
; バイ ト を RQ+i に 保存 する 
STRB r4,[r0,r3] 
; lt 
ADDS r3,r3,#1 
|L0.12| 
; i<size? 
CMP r3,r2 
: も し そう な ら ル ー プ 開始 に ジャ ンプ する 
BCC |LO.6| 
POP {r4,pc} 
ENDP 


ARM in ARM mode 
ARM モ ー ド の Keil は 、 条 件 付き 接尾 辞 を 最大 限 に 活用 し て いま す 。 
Listing 1.173: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


my memcpy PROC 
; RO = コピ ー 先 アド レス 
ВІ: 2936—9607 RDA 
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; R = ブロ ッ ク の サイ ズ 


; カウ ンタ (i) を 6 で 初期 化 


MOV r3,#0 
IL0.4| 
; 全 バ イト を コピ ー し た か 
CMP r3,r2 


; 以下 の ブロ ッ ク は 未満 の 条件 を 満た す 場 合 の み 実行 され る 
; R2«R3 また は i<size な ら 
; R1+1+ の バイ ト を ロー ド す る : 
LDRBCC r12,[r1,r3] 
: バイ ト を R6+1i に 保存 する 
STRBCC r12,[r0,r3] 
; i++ 
ADDCC r3,r3,#1 
; conditional block の 最後 の 命令 
; 3<size な ら ル ー プ の 開始 に ジャ ンプ 
; そう で な けれ ば 何 も し な い (i>=size な ら ) 


BCC |LO.4| 
к リタ ー ン 

BX tr 

ENDP 


その た め 、2 で は な く 1 つ の 分 岐 命令 し か 存在 し ませ ん 。 


MIPS 

Listing 1.174: GCC 4.4.5 optimized for size (-Os) (IDA) 
my_memcpy: 
; ルー プ へ の ジャ ンプ の チェ ッ ク 部 分 


b toc 14 
; カウ ンタ (i) を 6 で 初期 化 
: 必ず $VO に 割り 当たる : 
move $v0, $zero ; 分 岐 遅延 スロ ッ ト 


loc 8: # CODE XREF: my_memcpy+1C 
; $t0 DS $v1 に 符号 な し の バイ ト と し て ロー ド さ れる : 
lbu $v1, O($t0) 
; カウ ンタ (i) を イン クリ メン ト : 
addiu $v0, 1 
; $a3 に バイ ト を 保存 
sb $v1, 0($a3) 


loc 14: # CODE XREF: my memcpy 

; $vV9 の カウ ンタ (i) が 依然 と し て 小さ けれ ば 、 第 三 引数 ($a2 の "cnt") を チェ ッ ク 
sltu $v1, $v0, $a2 

: ソー ス ブ ロ ッ ク の バイ ト の アド レス を 整え る 
addu $tO, $al, $vO 

; $10 = $al+$v0 = src+i 

; カウ ンタ が "cnt" 未満 の 場合 は ルー プ ボ ディ に ジャ ンプ 
bnez $v1, toc 8 

; コピ ー 先 ブロ ッ ク ($a3 = $a04$v0 = dst+1) の バイ ト の アド レス を 整え る 
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addu $a3, $a0, $v0 ; 分 岐 遅延 スロ ッ ト 
: BNEZ が 実行 され な けれ ば 終了 する 
jr $га 
ог gat, $zero ; 分 岐 遅 延 ス ロッ ト , NOP 


ここ で は 、2 つ の 新しい 命令 が あり ます : LBU (「Load Byte Unsigned」) と SB (「Store 
Byte」) 


ARM と 同様 に 、MIPS レ ジス タ は すべ て 32 ビ ッ ト 幅 で あり 、x86 な どの 1 バイ ト 幅 の レジ ス 
タ 部 分 は あり ませ ん 。 


し た が っ て 、1 バ イト を 処理 する 場合 は 、32 ビ ッ ト の レジ スタ 全体 を 割り 当て る 必要 が あ 
り ま す 。 


LBU は 1 バイ ト を ロー ド し 、 他 の すべ て の ビッ ト (「Unsigned」) を クリ ア し ます 。 
一 方 、LB (「Load Byte」) 命令 は 、 ロ ー ド され た バイ ト を 32 ビ ッ ト 値 に 符号 拡張 し ます 。 
SB は 、 レ ジス タ の 最 下 位 8 ビ ッ ト か ら 1 バ イト を メモ リ に 書き 込む だ け で す 。 


ベク トル 化 
最適 化 GCC は この 例 で も っ と 多く の こと を 行う こと が で きま す : 1.27.1 on page 502. 


第 1.16.3 節 条件 チェ ッ ク 

for) コン スト ラク ト で は 、 ル ー プ ボディ の 実行 前 に 、 条 件 が 最後 で は な く 、 最 初 か ら チ ェ 
ッ ク さ れる こと に 注意 し て くだ さい 。 し か し 、 多 く の 場 合 、 コンパ イラ は ボディ の 後ろ で 
それ を 確認 する 方 が 便利 で す 。 場合 に よっ て は 、 最 初 に 追加 チェ ッ ク を 付け 足す こと も で 
きま す 。 


例 : 


#include <stdio.h> 


void f(int start, int finish) 
{ 
for (; start<finish; start++) 
printf ("%а\п", start); 
}; 


最適 化 さ れ た GCC 5.4.0 x64 で は : 


f 

; check condition (1): 
cmp edi, esi 
jge .L9 
push rbp 
push rbx 
mov ebp, esi 
mov ebx, edi 


sub rsp, 8 
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„5 


, 


.L9: 


mov edx, ebx 

xor eax, eax 

mov esi, OFFSET FLAT:.LCO ; "%d\n" 

mov edi, 1 

add ebx, 1 

call . printf chk 
check condition (2): 

cmp ebp, ebx 

jne .L5 

add rsp, 8 

pop rbx 

pop rbp 

rep ret 


check を 2 つ 見 て きま し た 。 
Hex-Rays (バー ジョ ン 2.2.0 よ り 後 ) で は 次 の よう に デコ ン パ イル し ます : 


void cdecl f(unsigned int start, unsigned int finish) 


{ 


unsigned int v2; // ebx@2 
. int64 v3; // rdx@3 


if ( (signed int)start « (signed int)finish ) 


1 
v2 = start; 
do 
1 
v3 = V2++; 
 printf chk(1LL, "%d\n", v3); 
while ( finish != v2 ); 
} 


この 場合 、do/while() は for) で 置き 換え られ 、 間 違い な く 最 初 の チェ ッ ク を 取り 除く こ 
と が で きま す 。 


第 1.16.4 節 結論 
2 か ら 9 の ルー プ の 大 ま か な ス ケル トン : 


Listing 1.175: x86 


mov [counter], 2 : 初期 化 
jmp check 


body: 


; ルー プ ボ ディ 

; ここ で 何 か す る 
; ロー カル スタ ッ ク で カウ ンタ 変数 を 使用 する 
add [counter], 1 ; イン クリ メン ト 
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check: 
cmp [counter], 9 
jle body 


イン クリ メン ト 操 作 は 、 最 適 化 さ れ て いな い コ ー ド で は 3 つの 命令 と し て 表す こと が で き 


ます 。 
Listing 1.176: x86 


MOV [counter], 2 : 初期 化 
JMP check 
body: 
; ルー プ ボ ディ 
; ここ で 何 か す る 
: ロー カル スタ ッ ク で カウ ンタ 変数 を 使用 する 
MOV REG, [counter] : イン クリ メン ト 


TNC REG 

MOV [counter] , REG 
check: 

CMP [counter], 9 

JLE body 


ルー プ の 本 体 が 短い 場合 は 、 レ ジス タ 全 体 を カウ ンタ 変数 専用 に する こと が で きま す 。 


Listing 1.177: x86 


MOV EBX, 2 : 初期 化 
JMP check 
body: 
; ルー プ ボ ディ 
; ここ で 何 か す る 
; EBX で カウ ンタ を 使用 し ます が 、 変 更 し て は いけ ませ ん 
INC EBX ; イン クリ メン ト 
check: 
CMP EBX, 9 
JLE body 


ルー プ の 一 部 は コン パイ ラ に よっ て 異な る 順序 で 生成 され る こと が あり ます 。 


Listing 1.178: x86 


MOV [counter], 2 : 初期 化 
JMP label check 
label increment: 
ADD [counter], 1; イン クリ メン ト 
tabet check: 
CMP [counter], 10 
JGE exit 
; ルー プ ボ ディ 
; ここ で 何 か す る 
; ロー カル スタ ッ ク で カウ ンタ 変数 を 使用 する 
JMP label increment 
exit: 
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通常 、 条 件 は ルー プ 本 体 の 前 で チェ ッ ク さ れ ま す が 、 ル ー プ 本 体 の 後 で 条件 が チェ ッ ク さ 
れる よう に コン パイ ラ が 再 配置 する こと が あり ます 。 
これ は 、 ルー プ の 本 体 が 少な く と も 1 回 は 実行 され る よう に 、 最初 の 反復 で 条件 が 常に な ue 
で ある と コン パイ ラ が 確信 する と き に 行わ れ ま す 。 


Listing 1.179: x86 


MOV REG, 2 : 初期 化 
body: 
: ルー プ ボ ディ 
; ここ で 何 か す る 
; REG で カウ ンタ を 使用 し ます が 、 変 更 し て は いけ ませ ん 
TNC REG : イン クリ メン ト 
CMP REG, 10 
JL body 


LOOP 命令 を 使用 し ます 。 こ れ は まれ で す が 、 コ ン パ イラ は それ を 使用 し て いま せん 。 あな 
た が これ を 見 る 時 は 、 コ ー ド は 手書き で ある と いう サイ ン で す 。 


Listing 1.180: x86 


; 19 か ら 1 へ の カウ ント 
MOV ECX, 10 
body: 
: ループ ボディ 
; ここ で 何 か す る 
; ECX で カウ ンタ を 使用 し ます が 、 変 更 し て は いけ ませ ん 
LOOP body 


ARM. 
この 例 で は 、R4 レジ スタ は カウ ンタ 変数 専用 で す 。 
Listing 1.181: ARM 


MOV R4, 2 : 初期 化 
B check 
body: 
; ルー プ ボ ディ 
; ここ で 何 か す る 
; R4 を カウ ンタ に 使用 し ます が 、 変 更 し て は いけ ませ ん 
ADD R4,R4, #1 : イン クリ メン ト 
check: 
CMP R4, #10 
BLT body 


第 1.16.5 節 練習 問題 
* http://challenges.re/54 
* http://challenges.re/55 
* http://challenges.re/56 
* http://challenges.re/57 
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第 1.17 節 文字 列 に 関す る 加筆 


第 1.17.1 節 strlen() 

ルー プ に つい て も う 一 度 話し まし ょ う 。 多 く の 場 合 、strten( ) 関数 102 は white() X 
を 使用 し て 実装 され ます 。 ここ で は 、MSVC 標 準 ラ イブ ラリ で どの よう に 行わ れる の か を 
見 て み ま す 。 


int my strten (const char * str) 


{ 
const char *eos = str; 
while( *eos++ ) ; 
return( eos - str - 1 ); 
} 
int main() 
{ 
// test 
return my_strlen("hello!"); 
}; 
х86 


非 最 適 化 MSVC 


コン パイ ル し て み ま し ょ う 。 


_eos$ = -4 ; Size = 4 
_str$ = 8 ; size = 4 
_strten PROC 
push ebp 
mov ebp, esp 
push ecx 
mov eax, DWORD PTR str$[ebp] ; "str" か ら 文 字 列 へ の ポイ ンタ を 配置 
mov DWORD РТА _eos$[ebp], eax ; " ロー カル 変数 "eos" に 配置 
$LN2@strlen_: 
mov ecx, DWORD PTR eos$[ebp] ; ECX=eos 


; ECX の アド レス か ら 8 ビ ッ ト の バイ ト を 取り 出し 、 符 号 付き 32 ビ ッ ト の 値 と し て EDX に 配置 す 


る 

mOVSX edx, BYTE PTR [ecx] 

mov eax, DWORD PTR eos$[ebp] ; EAX-eos 

add eax, 1 ; EAX を イン クリ メン ト 


mov DWORD РТА eos$[ebp], eax ; EAX の 値 を "eos" に 戻す 

test edx, edx ; EDX は ゼロ か 

je SHORT $LN1@strten_ ‚ そう な ら 、 ル ー プ を 終了 する 

jmp SHORT $LN2@strlen_ ; ルー プ を 継続 する 
$LN1@strlen_: 


192 文 字 列 中 の 文字 を C 言 語 で 数 える 
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: ここ で 二 つ の ポイ ンタ の 差分 を 計算 する 
mov eax, DWORD РТА _eos$[ebp] 
sub eax, DWORD PTR _str$[ebp] 


sub eax, 1 ; 1 を 引い て 結果 を リタ ー ン する 
mov esp, ebp 

pop ebp 

ret 0 


_strlen_ ENDP 


新しい 命令 が 2 つ 出 て きま し た 、MOVSX と TEST С. 


最初 の MOVSX は 、 メ モリ 内 の アド レス か ら バ イト を 取り 出し 、 そ の 値 を 32 ビ ッ ト レ ジス 
タ に 格納 し ます 。MOVSX は MOV with Sign-Extend の 略 で す 。MOVSX は ソー スバ イト が 
負 の 場合 は 1 に 、 正 の 場合 は 0 に 残り の ビッ ト を 8 か ら 31 に 設定 し ます 。 


そし て 、 そ れ が 理由 で す 。 


デフ ォ ル ト で は 、char 型 は MSVC と GCC で 署名 され て いま す 。 一 方 が char で 他方 が int 
で ある 2 つの 値 が ある 場合 (int も 署名 され ます )、 最 初 の 値 に -2 (OxFE と し て コー ド 化 さ 
れ て いま す ) が 含ま れ 、 こ の バイ ト を jnt コン テ ナ に コピ ー す る だ け で 0x000000FE, Z 
れ は 符号 付き の int ビュ ー の ポイ ント か ら 254 で す が 、-2 で は あり ませ ん 。 符号 付き int の 
場合 、-2 は OxFFFFFFFE と し て コー ド 化 され ます 。 し た が っ て 、char 型 の 変数 か ら 0xFE 
を int に 転送 する 必要 が ある 場合 は 、 そ の 符号 を 識別 し て 拡張 する 必要 が あり ます 。 こ れ 
が MOVSX の 役割 で す 。 


コン パイ ラ が EDX に char 変数 を 格納 する 必要 が ある か どう か を 言う の は 難し いで す が 、 
8 ビッ ト の レジ スタ 部 分 (DL な ど ) を 取る こと が で きま す 。 どう や ら 、 コ ン パ イラ の register 
allocator は その よう に 機能 し ます 。 

次 に 、TEST EDX, EDX が 表示 され ます 。TEST 命令 の 詳細 に つい て は 、 ビ ッ ト フ ィ ー ル 
ド に 関す る セク ショ ン (1.21 on page 369) を 参照 し て くだ さい 。 こ こ で は 、 こ の 命令 は 
EDX の 値 が 0 に 等 し いか どう か を チェ ッ ク す る だ け で す 。 


非 最適 化 GCC 


GCC 4.4.1 で 試し て み ま し ょ う 。 


public strten 


strlen proc near 
eos = dword ptr -4 
arg 0 = dword ptr 8 
push ebp 
mov ebp, esp 
sub esp, 10h 
mov eax, [ebp«arg 0] 
mov [ebp+eos] , eax 


loc 80483F0: 
mov eax, [ebp+eos] 
movzx eax, byte ptr [eax] 
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test al, al 


setnz al 
add [ebp+eos], 1 
test al, al 
jnz short loc 80483F0 
mov edx, [ebp+eos] 
mov eax, [ebp«arg 0] 
mov ecx, edx 
sub ecx, eax 
mov eax, ecx 
sub eax, 1 
leave 
retn 

strlen endp 


結果 は MSVC と ほぼ 同じ で す が 、MOVSX の 代わ り に MOVZX が あり ます 。MOVZX は MOV 
with Zero-Extend の 略 で す 。 こ の 命令 は 、8 ビ ッ ト ま た は 16 ビ ッ ト の 値 を 32 ビ ッ ト レ ジス 
タ に コピ ー し 、 残 り の ビッ ト を 0 に 設定 し ます 。 実際 、 こ の 命令 は 以下 の 命令 ペア を 置き 換 
える こと が で きる こと で の み 役 立ち ます : хог eax, eax / mov al, [...] 


一 方 、 コ ン パ イラ が この コー ド を 生成 で きる こと は 明らか で す 。mov al, byte ptr 
[eax] / test al, al は ほぼ 同じ で す が 、EAX レジ スタ の 最上 位 ビ ッ ト に ラン ダム ノイ 
ズ が 含ま れ ま す 。 し か し 、 そ れ が コン パイ ラ の 欠点 だ と 考え て み ま し ょ う 。 よ り 理 解 し や 
すい コー ド を 生成 する こと は で きま せん 。 厳密 に 言え ば 、 コンパ イラ は (人 間 に ) 理解 で 
きる コー ド を 出力 する 義務 は 全く あり ませ ん 。 


次 の 新しい 命令 は SETNZ €$, ここ で 、AL に ゼロ が 含ま れ て いな い 場 合 、test al, al 
は ZF フラ グ を 0 に 設定 し ます が 、 ZF==0 (NZ は ゼロ で は な い ) の 場合 、 SETNZ は AL に 1 を 
設定 し ます 。 自然 言語 で 言え ば 、 AL が ゼロ で な けれ ば 、 /oc_80483FO に ジャ ンプ せよ と な 
り ま す 。 コ ン パ イラ は 冗長 な コー ド を 出力 し ます が 、 最 適 化 が オフ に な っ て いる こと を 忘 
れ な いで くだ さい 。 


最適 化 MSVC 


f 


て 、 最 適 化 を オン に し て 、MSVC 2012 で すべ て コン パイ ル し まし ょ う (/0x )。 
Listing 1.182: 最適 化 MSVC 2012 /Ob0 


_str$ = 8 ; size = 4 
_strlen PROC 
mov edx, DWORD PTR str$[esp-4] ; 文字 列 へ の ポイ ンタ を EDX に 置く 
mov eax, edx ; EAX に コピ ー 
$LL2@strlen: 
mov cl, BYTE PTR [eax] ; CL = *EAX 
inc eax ; EAX++ 
test cl, cl ; CL==0 か 
jne SHORT $LL2@strlen : そう で な けれ ば 、 ル ー プ を 継続 する 
sub eax, edx : ポイ ンタ の 差分 を 計算 する 
dec eax ; EAX を デ ク リ メン ト す る 
ret 0 


_strlen ENDP 
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すべ て 単純 で す 。 言 うま で も な く 、 コ ン パ イラ は 、 ロ ー カ ル 変 数 が 少数 で ある 小さ な 関数 
で の み 効 率 を 持つ レジ スタ を 使用 する こと が で きま す 。 


INC/DEC は イン クリ メン ト / デ クリ メン ト 命 令 で す 。 す な わ ち 、 変 数 に 1 を 加算 また は 減算 
し ます 。 
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最適 化 MSVC + OllyDbg 


OllyDbg で この (最適 化 さ れ た ) 例 を 試す こと が で きま す 。 こ こ に 最初 の イ テ レ ー シ ョ ン 
が あり ます : 


CPU - main thread, module ex1 [ IP] x] 
こ г A J ~ 


CARG. 11 
II "hellot” 


"hellot" 


у m mmmmmmmml 
л = て TT 


HONDI 


it @(FFFFFFFF) 


о 


8080000000 ERROR 


013830001=68 ('h') 

CL-ES 

Jump from 138166B 

Loop 81381886: loop variable EAX(+1) 


[Address [Hex dumo TNTL 
0 6S 65 EC 6С EF 21 00 H RETURN Pon sai aü 


ointer to nest Sly 


1.58: OllyDbg: 最初 の イ テ レ ー シ ョ ン の 開始 


OllyDbg が ルー プ を 見 つけ 、 便 宜 上 、 そ の 指示 を 括弧 で 囲ん だ こと が わか り ま す 。EAX の 
右 ボ タン を クリ ッ ク し て 、「Follow in Dump」 を 選択 する と 、 メ モリ ウィ ンド ウ が 正しい 
場所 に スク ロー ル し ます 。 こ こ で は メモ リ 内 に 「hello!」 と いう 文字 列 が あり ます 。 そ の 
後に 少な く と も 1 つの ゼロ バイ ト が あり 、 次 に ラン ダム な ご み が あ り ま す 。 


OllyDbg が 有効 な カド レス を 持つ レジ スタ を 見 る と 、 そ れ は 文字 列 を 指し て お り 、 文 字 列 
と し て 表示 され ます 。 
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F8 (ステ ッ プ オー バー) を 数 回 押し て 、 ル ー プ の 本 体 の 先頭 に 移動 し まし ょ う 


CPU - main thread, module ex1 
MOV EDX,DWORD PTR SS: САКБ. 1] 


MOU EAX, EDX 
ГМО CL,BVTE PTR DS:LERX1 


[013930011l=6S ('e') 

CL=68 ('"h') 

Jump from 138188B 

Loop 81381886: loop variable EAX(+1) 


® ® Фо A| 


01383000 ASCII 
96900080 
@@ЗВЕЕ2@ 
ロロ 3BFF64 
8000000901 
96800000 


01381006 


gg3BFF3g 
BaasBFF34 
gg3BFF38 
gg3BFF3C 
gg3BFF 4 


AASBFF4C 
gg3BFF5g 
gg3BFF54 

っ EEEG 


S2bit 
32bit 
22bit 
32bit 
3 32bit 
32bit 


hellot” 


ен1.01381006 


g(FFFFFFFF) 
BLFFFFFFFF) 
BLFFFFFFFF) 
BLFFFFFFFF) 
?EFUDggg(FFF) 
BLFFFFFFFF) 


90660066 ERROR SUCCESS 
t NO, NB, NE, А, NS, PO, GE, G) 


ZEFDE000 
ロロ BB 
gg3BFF38 
96960630 


1.59: OllyDbg: 2 回 目 の イ テレ ーション の 開始 


SE RETURN fror 
Э| HSCII "hello 
RETURN from екі. 


Pointer to next Sly 


EAX に は 文字 列 中 の 2 番目 の 文字 の アド レス が 含ま れ て いる こと が わか り ま す 。 
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我々 は ルー プ か ら 脱 出す る た め に F8 を 十分 な 回 数 押す 必要 が あり ます : 


MOV EDX, DWORD PTR SS:tRRG.11 
MOV EAX, EDX 
MOU CL,BYTE PTR DS:[EAX] 
С ERX 


CL,CL 
JNZ SHORT 01381006 


CPU - main thread, module ex1 = [Bl xl 
= T = 


aan 


; g(FFFFFFFF} 
B FFFFFFFF) 
at FFFFFFFF) 

t B(FFFFFFFF) 

; VEFODGGG( FFF) 
g(FFFFFFFF} 


г a8 aaa ERROR 
5 (NO, NB,E, ВЕ, 


£ 


IETURN from esi. 
ASCII "hello*” 
8| RETURN from ex1.8 


5] 1.60: OllyDbg: 計算 すべ き ポ イン タ の 差 


EAX に は 文字 列 の 直後 に 0 バイ ト の アド レス が 含ま れる こと が わか り ま し た 。 一 方 、EDX 
は 変更 され て いな い の で 、 ま だ 文字 列 の 先頭 を 指し て いま す 。 


これ ら の 2 つの アド レス の 差 が ここ で 計算 され て いま す 。 


CPU - main thread, module ex1 


MOV EDX,DWORD PTR SS:[RR6.11 
MOU EAX, EDX 

MOV CL, BYTE PTR 05: [EAX] 
INC_EAX 


L, CL 


JNZ SHORT 81381886 
SUB ERX,EDX 
DEC EAX 


[2 
EIP 0138100F 
S gg2 g(FFFFFFFF) 
Bg(FFFFFFFF} 
g(FFFFFFFF) 
D @(FFFFFFFF) 
F ?EFDDggg( FFF) 
G g(FFFFFFFF 


цчогртоо 
оороо 


оо 


iN from ex1.0 
II "hellot” 
KP'RDu o RETURN from ex1.@ 
8 pA 


ロロ ロロ ロロ ロロ 回! 


nter to next Sly 


1.61: OllyDbg: EAX が デ ク リ メン ト さ れる 


ポイ ンタ の 違い は EAX レジ スタ に あり ます ( 値 は 7)。 確か に 、「hello!」 文字 列 の 長 さ は 6 で 
す が 、7 に は ゼロ バイ ト が 含ま れ て いま す 。 し か し 、strten( ) は 文字 列 中 の ゼロ 以外 の 文 
字数 を 返さ な けれ ば な り ま せん 。 し た が っ て 、 デ クリ メン ト が 実行 され 、 関数 が 戻り ます 。 


最適 化 GCC 


最適 化 を オン に し て (-03 キー) GCC 4.4.1 を チェ ッ ク し まし ょ う 。 


public strten 


strten proc near 
arg 0 - dword ptr 8 
push ebp 
mov ebp, esp 
mov ecx, [ebp+arg 0] 
mov eax, ecx 


loc 8048418: 
movzx edx, byte ptr [eax] 


add eax, 1 
test dl, dl 
jnz short loc 8048418 


not ecx 
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add eax, ecx 
pop ebp 
retn 

strlen endp 


ここ で 、GCC は MOVZX の 存在 を 除い て MSVC こ と ほぼ 同じ で す 。 し か し 、 こ こ で は MOVZX を 
mov dl, byte ptr [eax] に 置き 換え る こと が で きま す 。 


お そら く 、GCC の コー ドジ ェ ネ レー タ が char 変数 に 割り 当て られ た 32 ビ ッ ト EDX レ ジス 
タ 全 体 を 記憶 し て いる こと を 覚え て いる の は お そら く 簡 単 で す 。 そ し て 、 最 も 高い ビッ ト 
に は いつ で も ノイ ズ が な いこ と を 確か め る こと が で きま す 。 

その 後 で 、 新 し い 命令 を 見 ます 、NOT で す 。 こ の 命令 は 、 オ ペラ ンド の すべ て の ビッ ト を 
反転 し ます 。XO0R ECX, Offffffffh 命令 と 同義 で す 。NOT と 次 の ADD は ポイ ンタ の 差 
を 計算 し 、1 を 差し 引き ます 。s な へ の ポイ ンタ が 格納 され て いる 開始 ECX で は 反転 され 、 
1 が 減算 され ます 。 


つま り 、 ル ー プ 本 体 の 直後 の 関数 の 最後 で は 、 こ れ ら の 操作 が 実行 され ます 。 


ecx=str; 
eax=eos; 
ecx=(-ecx)-1; 
eax=eax+ecx 
return eax 


.. これ は 事実 上 次 の も の と 同等 で す : 


ecx=str; 
eax=eos; 
eax=eax-ecx; 
eax=eax-1; 
return eax 


な ぜ GCC は それ が より 良い と 判断 し た の で し ょ うか 。 推測 する の は 難し いで す が 、 お そら 
く 両 方 の 変種 は 効率 の 面 で は 同じ で す 。 


ARM 
32-bit ARM 


非 最適 化 Xcode 4.6.3 (LLVM) (ARM モ ー ド ) 


Listing 1.183: 非 最適 化 Xcode 4.6.3 (LLVM) (ARM モ ー ド ) 


strlen 
eos = -8 
str = -4 


SUB SP, SP, #8; ロー カル 変数 に 8 バイ ト を 割り 当て 
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STR RO, [SP,#8+str] 
LDR RO, [SP,#8+str] 
STR RO, [SP,#8+eos] 


loc 2CB8 ; CODE XREF: _strlen+28 
LDR RO, [SP,#8+eos] 
ADD R1, RO, #1 
STR R1, [SP,#8+eos] 
LDRSB RO, [RO] 
CMP RO, #0 
BEQ loc 2CD4 
B loc 2CB8 

loc 2CD4 ; CODE XREF: _strlen+24 
LDR RO, [5Р,#8+еоѕ] 
LDR R1, [SP,#8+str] 
SUB RO, RO, R1 ; RO=eos- stF 
SUB RO, RO, #1 ; RO=RO- 1 
ADD SP, SP, #8 ; 割り 当て た 8 バイ ト を 開放 
BX LR 


最適 化 さ れ て いな い LLVM は あま り に も 多く の コー ド を 生成 し ます が 、 ス タッ ク 内 の ロー 
カル 変数 で この 関数 が どの よう に 機能 する か を 見 る こと が で きま す 。 関数 に は 、eos と 
str と いう 2 つの ロー カル 変数 し か あり ませ ん 。IDA に よっ て 生成 され た この リス ト で は 、 
var 8 と var 4 の 名 前 を eos と str に 手動 で 変更 し まし た 。 


最初 の 命令 は 、sr と eos の 両方 に 入力 値 を 保存 する だ け で す 。 
ルー プ の 本 体 は ラベ ル loc_2CB8 か ら 始 まり ます 。 


ルー プ 本 体 の 最初 の 3 つの 命令 (LDR, ADD, 、STR) は 、eos の 値 を RO に ロー ド し ます 。 次 
に 、 値 が incremented さ れ 、 ス タッ ク に 格納 され て いる eos に 保存 され ます 。 


次 の 命令 、 LDRSB RO, [RO] (「Load Register Signed Byte」) は 、R6 に 格納 され た アド レ 
ス の メモ リ か ら バ イト を ロー ド し 、32 ビ ッ ト に 符号 拡張 し ます 。 109 これ は 、 x860 MOVSX 
命令 に 似 て いま す 。 


コン パイ ラ は char 型 が C 標 準 に 従っ て 署名 され て いる た め 、 こ の バイ ト を 符号 付き と し 
て 扱い ます 。 こ の セク ショ ン で は 、x86 と の 関連 で 、 す で に それ に つい て 書か れ て いま 
す (1.17.1 on page 247)。 


ARM の 32 ビ ッ ト レ ジス タ の うち 8 ビッ ト ま た は 16 ビ ッ ト の 部 分 を 、 レ ジス タ 全 体 と は 別 
に x86 で は 使用 する こと は 不可 能 で ある こと に 注意 し て くだ さい 。 


どう や ら 、x86 は その 祖先 と 16 ビ ッ ト の 8086、 さ ら に は 8 ビッ ト の 8080 ま で の 下位 互換 性 
の 巨大 な 歴史 が あり ます が 、ARM は 32 ビ ッ ト の RISC プ ロ セ ッ サ と し て 最初 か ら 開発 され 
て いま す 。 


し た が っ て 、ARM で は 別々 の バイ ト を 処理 する た め に 、 い ずれ に し て も 32 ビ ッ ト レ ジス タ 
を 使用 する 必要 が あり ます 。 

よっ て 、LDRSB は 文字 列 か ら バ イト を RO に 1 つ ず つ ロ ー ド し ます 。 次 の CMP 命令 と BEO 命 
令 は 、 ロ ー ド され た バイ ト が 0 か どう か を チェ ッ ク し ます 。0 で な けれ ば 、 制 御 は ルー プ 本 
体 の 先頭 に 移り ます 。0 の 場合 、 ルー プ は 終了 し ます 。 


103keil コ ン パ イラ は 、MSVC や GCC の よう に char 型 を signed 型 と し て 扱い ます 
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関数 の 最後 に 、eos апа str の 差 が 計算 され 、1 が 減算 され 、 結 果 の 値 が RO を 介し て 返さ 
れ ま す 。 


注意 : この 関数 で は レジ スタ は 保存 され ませ ん で し た 。 

これ は 、ARM の 呼び 出し 規約 で は 、 レ ジス タ RO-R3 が 引数 の 受け 渡し を 目的 と し た ГА 
クラ ッ チ レジ スタ 」 で あり 、 呼 び 出 し 関数 が それ ら を 使用 し な く な る た め 、 関 数 が 終了 す 
る と き に 値 を 復元 する 必要 は な いか ら で す 。 し た が っ て 、 そ れ ら は 私 た ち が 望 む も の に 使 
用 する こと が で きま す 。 


ここ で は 他 の レジ スタ は 使用 され て いな い の で 、 ス タッ ク に 何 も 保存 する 必要 は あり ませ 
ん 。 


し た が っ て 、 制 御 は 、 単 純 ジ ャ ンプ (BX) に よっ て 呼び 出し 機能 に 戻さ れ 、LR レ ジス タ 内 
の アド レス に 戻る こと が で きま す 。 


最適 化 Xcode 4.6.3 (LLVM) (Thumb モ ー ド ) 


Listing 1.184: 最適 化 Xcode 4.6.3 (LLVM) (Thumb モ ー ド ) 


_strten 
MOV R1, RO 
loc 2DF6 
LDRB.W R2, [В1],#1 
CMP R2, #0 
BNE loc 2DF6 
MVNS RO, RO 
ADD RO, R1 
BX LR 


LLVM の 最適 化 が 完了 する と 、eos と str は スタ ッ ク に スペ ー ス を 必要 と せ ず 、 常 に レジ ス 
タ に 格納 する こと が で きま す 。 


ルー プ 本 体 の 開始 前 に 、s な は 常に RO に あり 、eos は К に あり ます 。 


LDRB .W R2, [R1] ,#1 命令 は 、R1 に 格納 され た アド レス の メモ リ か ら R2 に バイ ト を ロ 
ー ド し 、32 ビ ッ ト 値 に 符号 拡張 し ます が 、 そ れ だ け で は あり ませ ん 。 命令 の 最後 の #1 は 
「 索 引 付 け 後 の アド レス 指定 」 を 意味 し ます 。 つま り 、 バイ ト が ロー ド さ れ た 後に R1 に 1 が 
追加 され ます 。 詳しく は 、1.30.2 on page 536 を 参照 し て くだ さい 。 


次 に 、 ル ー プ の 本 体 に СМР と BNE104 が 表示 され ます 。 こ れ ら の 命令 は 、 文 字 列 に 0 が 見 つ 
か る まで ルー プ し 続け ます 。 


MVNS105 (x86 で は NOT の よう に すべ て の ビッ ト を 反転 ) お よび ADD 命令 で cos- str — 1 が 
計算 され ます 。 実 際 に は 、 こ れ ら の 2 つの 命令 は 、 RO= str 十 eos を 計算 し ます 。 これ は 、 
ソー スコ ー ド の も の と 事実 上 同じ で す 。 な ぜ ば そう で ある か に つい て は 、 以 下 で すでに 説明 
し まし た (1.17.1 on page 254)。 


どう や ら 、LLVM は GCC の よう に 、 こ の コー ド が 短く (また は 高速 に ) で きる と 結論 づけ て 
いま す 。 


104(PowerPC, ARM) Branch if Not Equa 
105MoVe Not 
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最適 化 Keil 6/2013 (ARM モ ー ド ) 


Listing 1.185: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


_strten 
MOV R1, RO 


loc 2C8 
LDRB R2, [R1] ,#1 
CMP R2, #0 
SUBEQ АӨ, R1, RO 
SUBEQ RO, RO, #1 
BNE loc 2C8 
BX LR 


以前 に 見 た も の と ほぼ 同じ で す が 、 str - eos - 1 の 式 は 関数 の 終わ り で は な く ル ー プ の 本 
体 で 計算 で きる 点 が 異な り ま す 。 -EQ サフ ィ ッ クス は 、 以 前 に 実行 され た CMP 内 の オペ 
ラン ド が 互い に 等 し い 場 合 に の み 、 命 令 が 実行 され る こと を 意味 し ます 。 し た が っ て 、RO6 
が 0 を 含む 場合 、 両 方 の SUBEQ 命令 が 実行 され 、 結 果 は К レジ スタ に 置か れ ま す 。 


ARM64 


最適 化 GCC (Linaro) 4.9 


my strlen: 
mov x1, x0 
; X1 は 一 時 的 な ポイ ンタ (eos) ©, Y7 cursor 97 の よう に ふる まう 


.L58: 
; XI 25 W2 に バイ ト を ロー ド し 、X1 (post-index) を イン クリ メン ト 
tdrb м2, [x1],1 
; ゼロ で な けれ ば 分 岐 : MV2 と 0 を 比較 し 、 異 な れ ば .L58 に ジャ ンプ 
cbnz w2, .L58 
; X0 の 初期 ポイ ンタ と X1 の 現在 の アド レス と の 差分 を 計算 


sub x0, x1, x0 

; 結果 の 下位 22 ビッ ト を デ ク リ メン ト 
sub w0, w0, #1 

ret 


アル ゴリ ズム は 、1.17.1 on page 248 と 同じ で す 。 ゼ ロバ イト を 見 つけ て 、 ポ イン タ の 差 
を 計算 し 、 結 果 を 1 減ら し ます 。 こ の 本 の 著者 に よっ て いく つか の コメ ント が 追加 され ま 
し た 。 

注目 すべ き は 、 私 た ちの 例 が 少し 間違っ て いる こと で す 。nmy strten( ) は 32 ビ ッ ト int 
を 返し ます が 、size t また は 別 の 64 ビ ッ ト 型 を 返す 必要 が あり ます 。 

その 理由 は 、 理 論 的 に は 、strten( ) は 4GB を 超え る 膨大 な メモ リブ ロッ ク に 対し て 呼び 
出す こと が で きる た め 、64 ビ ッ ト プ ラッ ト フ ォ ー ム で 64 ビ ッ ト の 値 を 返す こと が で き な 
けれ ば な ら な いか ら で す 。 
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私 の 間違い の た め に 、 最 後 の SUB 命令 は レジ スタ の 32 ビ ッ ト 部 分 で 動作 し 、 最 後 か ら 2 番 
Ho SUB 命令 は 64 ビ ッ ト レ ジス タ 全 体 で 動作 し ます (ポイ ンタ 間 の 差 を 計算 し ます )。 


間違い で す が 、 そ の よう な 場合 に コー ド が どの よう に 見 える か の 例 と し て 、 そ の まま 残す 
方 が 良い で す 。 


非 最 適 化 GCC (Linaro) 4.9 


my strlen: 

; 関数 プロ ロー グ 
sub sp, sp, #32 

; 最初 の 引数 (str) が [sp,8] に 保存 され る 
str x0, [sp,8] 


tdr х0, [sp,8] 
; "str" が "eos" 変数 に コピ ー 


str x0, [sp,24] 
nop 

.L62: 

; eost 
tdr х0, [sp,24] ; load "eos" to XQ 
add x1, x0, 1 ; XO を イン クリ メン ト 
str х1, [sp,24] ; save ХӨ to "eos" 


; X0 の アド レス の メモ リ か ら バ イト を W0 に ロー ド 
tdrb w0, [x0] 
; EOD? (WZR は 32 ビ ッ ト レ ジス タ で 常に ゼロ を 含む ) 


стр w0, wzr 
; ゼロ で な けれ ば ジャ ンプ (一 致し な けれ ば 分 岐 ) 
bne .L62 


ゼロ バイ ト が 見 つか る 。 差 分 を 計算 
; "eos" を X1 に ロー ド 
tdr X1, [sp,24] 
; "str" を X0 に ロー ド 
tdr х0, [sp,8] 


; 差分 を 計算 

sub x0, x1, x0 
; 結果 を デ ク リ メン ト 

sub w0, w0, #1 
; 関数 エピ ロー グ 

add SD, SD, 32 

ret 


も っ と 冗長 で す 。 変数 は 、 こ こ で は メモ リ (ロー カル スタ ッ ク ) と の 間 で 頻繁 に 投げ られ 
ます 。 同じ ミス も あり ます 。 デ クリ メン ト 操 作 は 32 ビ ッ ト の レジ スタ 部 分 で 行わ れ ま す 。 


MIPS 


Listing 1.186: 最適 化 GCC 4.4.5 (IDA) 


Imy_ strlen: 
; "eos" 変数 は 常に $v1 に 配置 
move $v1, $а0 


259 


loc 4: 
; "eos" の アド レス の バイ ト を $a1 に ロー ド 
tb $al, O($v1) 
or $at, $zero ; load delay slot, NOP 


; ロー ド さ れ た バイ ト が ゼロ で な けれ ば 、toc 4 に ジャ ンプ 
bnez $al, loc 4 
; "eos" を と に か く イ インクリメント 
addiu $v1, 1 ; branch delay slot 
: ルー プ が 終了 。 "str" 変数 を 反転 させ る 


nor $v0, $zero, $a0 
; $v0=-str-1 
jr $ra 
‚ 戻り 値 = $у1 + $v0 = eos + ( -str-1 ) = eos - str - 1 


addu $v0, $vl, $vO ; branch delay slot 


MIPS に は NOT 命令 が あり ませ ん が 、NOR は OR + NOT 演算 で す 。 
この 操作 は デジ タル エレ クト ロニ クス 106 で 広く 使用 され て いま す 。 


た と えば 、Apollo プ ログ ラム で 使用 され て いる Apollo ガ イダ ンス ・ コ ンピュータ は 、 
5600 個 の NOR ゲ ー ト を 使用 し て 作成 され まし た : [Jens Eickhoff, Onboard Computers, 
Onboard Software and Satellite Operations: An Introduction, (2011)] を 参照 し か し 、 
NOR 要 素 は コン ピュ ー タ プロ グラ ミン グ で あま り 一 般 的 で は あり ませ ん 。 

し た が っ て 、NOT 演 算 は NOR DST, $ZERO, SRC と し て 実装 され て いま す 。 


基本 か ら 、 符 号 付き 数 値 の ビッ ト 反 転 は 、 符 号 の 変更 と 結果 か ら の 1 の 減算 と 同じ で ある 
こと が わか り ま す 。 

で すか ら 、 こ こ で は str の 値 を と り 、 そ れ を -str - 1 に 変換 する こと は し ませ ん 。 次 の 加 
算 演算 は 結果 を 準備 し ます 。 


第 1.17.2 節 文字 列 境 界 


パラ メー タ が win32 の GetOpenFileName() 関数 に どの よう に 渡さ れる か は 興味 深い こと 
で す 。 それ を 呼び 出す に は 、 許 可 さ れ た ファ イル 拡張 子 の リス ト を 設定 する 必要 が あり ま 
y: 


OPENFILENAME *LPOPENFILENAME; 


char * filter = "Text files (*.txt)\O*.txt\OMS Word files (*.doc) 2 
S N0*.docN0NO"; 


LPOPENFILENAME = (OPENFILENAME *)malloc(sizeof(OPENFILENAME)); 
LPOPENFILENAME-»lpstrFilter = filter; 


if(GetOpenFileName(LPOPENFILENAME)) 
1 


106NOR は 「 汎 用 ゲー ト 」 と 呼ば れ ま す 
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£ £ G[š. GetOpenFileName() に 文字 列 の リス ト が 渡さ れ ま す 。 解析 する の は 問題 で は 
あり ませ ん 。 ゼ ロバ イト が 1 つ 出 現す る た びに 、 こ れ が アイ テム に な り ま す 。 ゼ ロバ イト 
が 2 バイ ト 出 現す れ ば 、 リ スト の 最後 に な か なり ます 。 こ の 文字 列 を printf( ) に 渡す と 、 最 
初 の 項目 は 単 一 の 文字 列 と し て 扱わ れ ま す 。 
これ は 文字 列 か 、 そ う で は な い の か 。 こ れ は 、 複 数 の ゼロ 終端 され た C 文 字 列 を 含む バッ フ 
ァ で あり 、 全 体 と し て 格納 し て 処理 する こと が で きま す 。 
T deca ee т AE 


す 。 し た が っ て 、 入 力 文字 列 を いく つか の 種類 の バッ ファ に 変換 し ます 。 バ ッ フ ァ に は 、 
ゼロ で 終了 する C 文 字 列 が いく つか あり ます 。 


第 1.18 節 算術 命令 を 他 の 命令 に 置換 する 


最適 化 を 追求 する 際 に は 、 あ る 命令 を 別 の 命令 に 置き 換え た り 、 命 令 群 で 置き 換え る こ 
と も で きま す 。 た と えば 、ADD と SUB は 相互 に 置き 換え る こと が で きま す : リス ト ?? の 
行 18 を 参照 


た と えば 、LEA 命令 は 、 単 純 な 算術 計算 に よく 使用 され ます : ?? on page ?? 


第 1.18.1 節 乗算 
加算 に よる 乗算 
単純 な 例 で す 。 


unsigned int f(unsigned int а) 


{ 
}; 


return a*8; 


8 倍 の 乗算 は 3 つの 加算 命令 に 置き 換え られ ます 。 どう や ら 、MSVC の オプ ティ マイ ザ は 、 
この コー ド が より 高速 に な る と 判断 し た よう で す 。 


Listing 1.187: 最適 化 MSVC 2010 


TEXT | SEGMENT 


a$ = 8 ; Size = 4 

_f PROC 
mov eax, DWORD PTR  a$[esp-4] 
add eax, eax 
add eax, eax 
add eax, eax 
ret 0 

f ENDP 

_TEXT ENDS 


ビッ トシ フト に よる 乗算 


2 の べき 乗 の 数 に よる 乗算 お よび 除算 命令 は 、 多 く の 場 合 、 シ フト 命令 に 置き 換え られ ま 
す 。 


unsigned int f(unsigned int а) 


{ 
return a*4; 
}; 
Listing 1.188: 非 最適 化 MSVC 2010 
_а$ = 8 ; size = 4 
f PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR a$[ebp] 
shl eax, 2 
pop ebp 
ret 0 
f ENDP 


4 の 乗算 は 、 数 値 を 左 に 2 ビッ トシ フト し 、 右 に 0 を 2 ビッ ト (最後 の 2 ビッ ト と し て ) を 挿 
入 し ます 。 そ れ は ちょ うど 3 を 100 倍 する の に 似 て いま す 一 右 に 2 つの ゼロ を 追加 する だ け 
で す 。 


これ が 左 シ フト 命令 の 仕組 み で す : 


ググ УГУ». 
ЕЕЕ ВИЕ же 
右 の 追加 ビッ ト は 常に ゼロ で す 。 
ARM で の 4 倍 の 乗算 : 
Listing 1.189: 非 最適 化 Keil 6/2013 (ARM モ ー ド ) 


f PROC 
LSL r0,r0,#2 
BX tr 
ENDP 


MIPS で の 4 倍 の 乗算 : 
Listing 1.190: 最適 化 GCC 4.4.5 (IDA) 


jr $ra 
sll $v0, $a0, 2 ; branch delay slot 


SLL (£ [Shift Left Logical] © G, 
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シフ ト 、 減 算 、 加 算 を 使用 し た 乗算 


シフ ト を 使っ て 7 や 17 の よう な 数 値 を 掛け る と 、 乗 算 演 算 を 取り 除く こと が で きま す 。 こ 


こ で 使用 され る 数 学 は 比較 的 簡単 で す 。 


32-bit 


#include <stdint.h> 


int fl(int a) 


1 
return a*7; 
}; 
int f2(int а) 
{ 
return а*28; 
}; 
int f3(int а) 
{ 
return а*17; 
}; 
х86 
Listing 1.191: 最適 化 MSVC 2012 
; a*7 
a$ = 8 
f1 PROC 
mov ecx, DWORD PTR _a$[esp-4] 
; ECX=a 
lea eax, DWORD PTR [ecx*8] 
; EAX=ECX*8 
sub eax, ecx 
; EAX=EAX - ECX=ECX*8 - ECX=ECX*7=a*7 
ret 0 
_11 ЕМОР 
; a*28 
_а$ = 8 
_f2 PROC 
mov ecx, DWORD PTR _a$[esp-4] 
; ECX=a 
lea eax, DWORD PTR [ecx*8] 
; EAX=ECX*8 
sub eax, ecx 


; EAX-EAX-ECX-ECX*8 - ЕСХ=ЕСХ*7=а*7 
shl eax, 2 
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; EAX=EAX<<2=(a*7)*4=a*28 


ret 0 
_12 ЕМОР 
ja*17 
_а$ = 8 
_f3 PROC 
mov eax, DWORD PTR _a$[esp-4] 
; EAX=a 
shl eax, 4 
; EAX=EAX<<4=EAX*16=a*16 
add eax, DWORD PTR _a$[esp-4] 
; EAX=EAX+a=a*16+a=a*17 
ret 0 
_f3 ENDP 


ARM 


ARM モ ー ド の Keil は 、 第 2 オペ ラン ド の シフ ト 修 飾 子 を 利用 し て いま す 。 
Listing 1.192: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


; a*7 
||f1|| PROC 
RSB r0,r0,r0,LSL #3 
; RO=RO<<3-RO=RO0*8 - RO=a*8 - a=a*7 
BX tr 
ENDP 
; a*28 
||f2|| PROC 
RSB r0,r0,r0,LSL #3 
; RO=RO<<3-RO=RO0*8 - RO=a*8 - a=a*7 
LSL r0,r0,#2 
; RO=RO<<2=RO0*4=a*7*4=a*28 
BX tr 
ENDP 
; a*17 
|| ЇЗ|| PROC 
ADD r0,r0,r0,LSL #4 
; ROZRO«-RO««4-RO-R0*16-R0*172a*17 
BX tr 
ENDP 
し か し 、Thumb モ ー ド に は この よう な 修飾 語 は あり ませ ん 。 また 、f2( ) を 最適 化す る こ 
と も で きま せん 。 
Listing 1.193: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 
; a*7 


|| f1|| PROC 
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sll $у0, $a0, 3 


; $v0 = $a0<<3 = $a0*8 
jr $ra 


subu $v0, $a0 ; branch delay slot 
; $v0 = $v0-$a0 = $a0*8-$a0 = $а0*7 


_f2: 

sll $v0, $a0, 5 
; $v0 = $a0««5 = $a0*32 

sll $a0, 2 


; $a0 = $a0<<2 = $a0*4 
jr $га 


subu $v0, $a0 ; branch delay slot 


LSLS rl,r0,#3 
; Rl=R0<<3=a<<3=a*8 

SUBS r0,r1,r0 
; RO=R1 - R0=a*8 - a=a*7 

BX tr 

ENDP 
; а*28 
|| f2|] PROC 

MOVS г1,#0х1с ; 28 
; R1=28 

MULS r0,r1,r0 
; RO=R1*RO=28*a 

BX tr 

ENDP 
; а*17 
||f3|| PROC 

LSLS r1,r0,#4 
; R1=R0<<4=R0*16=a*16 

ADDS r0,r0,r1 
; RO=RO+R1=a+a*16=a キ 17 

BX tr 

ENDP 
MIPS 

Listing 1.194: 最適 化 GCC 4.4.5 (IDA) 

fl: 


; $VO = $a0*32-$a0*4 = $a0*28 


sll $у0, $a0, 4 


; $v0 = $a0<<4 = $а0*16 
jr $ra 


addu $v0, $a0 ; branch delay slot 


; $v0 = $a0*16+$a0 = $a0*17 
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64-bit 


#include <stdint.h> 


int64 t fl(int64 t a) 


1 
return a*7; 
}; 
int64 t f2(int64 t a) 
1 
return a*28; 
int64 t f3(int64 t a) 
1 
return a*17; 
}; 
x64 
Listing 1.195: 最適 化 MSVC 2012 
; a*7 
f1: 
lea rax, [0+rdi*8] 
; RAX=RDI*8=a*8 
sub rax, rdi 
; RAX=RAX-RDI=a*8 -a=a*7 
ret 
; a*28 
f2: 
lea rax, [0+га1*4] 
; RAX=RDI*4=a*4 
sal rdi, 5 
; RDI=RDI<<5=RDI*32=a*32 
sub rdi, rax 
; RDI=RDI -RAX=a*32-a*4=a*28 
mov rax, rdi 
ret 
‚ а*17 
f3: 
mov rax, rdi 
sal rax, 4 
; RAX=RAX<<4=a* 16 
add rax, rdi 


; RAX=a*16+a=a*17 
ret 
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ARM64 


ARM64 用 の GCC 4.9 も 、 シ フト 修飾 子 の お か げ で 簡潔 で す 。 
Listing 1.196: 最適 化 GCC (Linaro) 4.9 ARM64 


; a*7 
f1: 
151 x1, x0, 3 
; X1=X0<<3=X0*8=a*8 
sub x0, x1, x0 
; X0=X1-X0=a*8-a=a*7 
ret 
; a*28 
f2: 
151 x1, x0, 5 
; X1=X0<<5=a*32 
sub x0, x1, x0, 1512 
; X0=X1-X0<<2=a*32-a<<2=a*32-a*4=a*28 
ret 
; a*17 
f3: 
add x0, x0, x0, lsl 4 
; X0=X0+X0<<4=a+a*16=a*17 
ret 


ブー ス の 乗算 アル ゴリ ズム 


コン ピュ ー タ が 大 きく て 高価 だ っ た 時 が あり まし た 。 そ の 中 に は 、Data General Nova の 
よう な CPU で の 乗算 演算 の ハー ドウ ェ ア サ ポー ト が 欠け て いた も の も あり まし た 。 そ し て 、 
乗算 が 必要 な と き 、 例 えば 、 ブ ー ス の 乗算 アル ゴリ ズム を 使用 し て ソフ トウ ェ ア レ ベル で 
乗算 を 提供 する こと が で きま す 。 こ れ は 、 加 算 演算 と シフ ト の み を 使用 する 乗算 アル ゴリ 
ズム で す 。 

現代 の 最適 化 コ ン パ イラ が 行う こと は 同じ で は あり ませ ん が 、 目標 (乗算 ) と リソー ス (= 
速 化 ) は 同じ で す 。 


第 1.18.2 節 除算 
ビッ トシ フト に よる 除算 
4 で 除算 する 例 : 


unsigned int f(unsigned int a) 


{ 
}; 


return а/4; 


MSVC 2010 の 結果 
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Listing 1.197: MSVC 2010 


_а$ = 8 ; size = 4 

_f PROC 
mov eax, DWORD PTR _a$[esp-4] 
shr eax, 2 
ret 0 

f ENDP 


この 例 の SHR (SHift Right) 命令 は 、 右 に 2 ビッ ト 分 シフ ト し て いま す 。 左 の 2 つの 解放 さ 
れ た ビッ ト (例え ば 、2 つ の 最上 位 ビ ッ ト ) は ゼロ に 設定 され ます 。2 つ の 最 下 位 ビ ッ ト は 
破棄 され ます 。 実際 に は 、 こ れ ら の 2 つの ドロ ッ プ ビッ ト は 除算 演算 の 余り で す 。SHR 命 令 
は SHL の よう に 動作 し ます が 、 他 の 方 向 に 動作 し ます 。 


SHR 命令 は SHL の よう に 動作 し ます が 、 別 の 方 向 に 動作 し ます 。 


NNNNNN 
ааа 
10 進 数 の 数 字 で 23 を 想像 する と 理解 し や すい で し ょ う 。 最 後 の 桁 (3 : 除算 し た 結果 の 余 


り ) を 落と す だ け で 、23 を 10 で 簡単 に 除算 する こと が で きま す 。2 は 、 商 と し て 動作 の 後 
に 残さ れ ま す 。 


残り の 部 分 は 削除 され ます が 、 そ れ は 問題 あり ませ ん 。 整 数値 で 作業 し ます が 、 こ れ ら 
は real numbers で は あり ませ ん ! 


ARM で の 4 の 除算 
Listing 1.198: 非 最適 化 Keil 6/2013 (ARM モ ー ド ) 
f PROC 
LSR r0,r0,#2 
BX tr 
ENDP 


MIPS で の 4 の 除算 
Listing 1.199: 最適 化 GCC 4.4.5 (IDA) 


jr $ra 
srl $v0, $a0, 2 ; branch delay slot 


SRL 命 令 は 「Shift Right Logical] PORTH. 


第 1.18.3 節 練習 問題 
• http://challenges. re/59 
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第 1.19 節 フロ ー テ ィング ポイ ント ユニ ッ ト 
FPU は メイ ン CPU 内 の デバ イス で 、 特 に 浮動 小数 点数 を 扱う よう に 設計 され て いま す 。 


これ は 過去 に 「 コ プロ セッ サー」 と 呼ば れ て いま し た が 、 メ イン CPU と は 別 の 場所 に と ど 
まっ て いま す 。 


第 1.19.1 節 IEEE 754 


IEEE 754 形 式 の 数 字 は 、 符 号 、 有 効 数 字 (小数 部 と も 呼ば れ ま す )、 お よび 指数 で 構成 さ 
れ ま す 。 


第 1.19.2 節 x86 
x86 の FPU を 学ぶ 前 に 、 ス タッ クマ シン を 調べ た り 、Forth 言 語 の 基礎 を 学ぶ こと は 価値 が 
あり ます 。 


過去 (80486 CPU の 前 ) の コ プ ロ セッ サ は 別個 の チッ プ で あり 、 い つも マザー ボー ド に プ 
リ イ ン スト ー ル され て いな か っ た こと は 興味 深い こと で す 。 別 に 購入 し て イン スト ー ル す 
る と と が で きま し た 。 € 


FPU は 80486 DX CPU か ら CPU に 統合 され て いま す 。 


ЕМАІТ 命令 は 、CPU を 待機 状態 に 切り 替え る の で 、FPU が 処理 を 終了 する まで 待つ こと が 
で きる と いう 事実 を 思い 出さ せま す 。 

も う 一 つの 基本 は 、FPU 命 令 オ ペコ ー ド が 、 い わ ゆ る 「 エ スケ ー プ 」 オ ペコ ー ド (D8. .DF)、 
すなわち オペ コー ド が 別個 の コ プ ロ セッ サ に 渡さ れる こと か ら 始 まる と いう 事実 で す 。 
FPU は 8 個 の 80 ビ ッ ト レ ジス タ を 保持 で きる スタ ッ ク を 持ち 、 各 レジ スタ は IEEE 754 形 
式 の 番号 を 保持 で きま す 。 


それ ら は ST(0)..ST(7) で す 。 簡潔 に は 、 IDA と OllyDbg は ST(0) を ST と 表示 し ます 。 
これ は 一 部 の 教科 書 と マニ ュ ア ル で は 「 ス タッ クト ッ プ 」 と し て 表 さ れ て いま す 。 


第 1.19.3 節 ARM, MIPS, x86/x64 SIMD 


ARM お よび MIPS で は 、FPU は スタ ッ ク で は な く 、GPR の よう に ラン ダム アク セス で きる レ 
ジス タ の セッ ト で す 。 


同じ 体系 が x86/x64 CPU の SIMD 拡 張 で 使用 され て いま す 。 


第 1.19.4 節 C/C++ 


標準 の C/C++ 言語 で は 、float ( 単 精 度 、32 ビ ッ ト ) と 109 double ( 倍 精度 、64 ビ ッ ト ) 
の 少な く と も 2 つの 浮動 小数 点 型 が 用 意 さ れ て いま す 。 


107 た と えば 、john Carmack は 、32 ビ ッ ト GPR108 レ ジス タ (整数 部 分 は 16 ビ ッ ト 、 小 数 部 分 は 16 ビ ッ ト ) に 格 
納 さ れ た Doom ビ デオ ゲー ム の 固定 小数 点 演算 の 値 を 使用 し まし た 。Doom は FPU な し の 32 ビ ッ ト コ ンピュータ 、 
つま り 80386 と 80486 SX で 動作 し まし た 

193 単 精度 浮動 小数 点数 形式 も フロ ー ト 型 の デー タ を 構造 体 と し て 扱う (1.23.6 on page 455) セク ショ ン で 扱 
いま す 


269 
[Donald E. Knuth, The Art of Computer Programming, Volume 2, 3rd ed., (1997)246] 
に お いて 、 単 精度 は 、 浮動 小数 点 値 を 単 一 の [32 ビ ッ ト ] マシ ン に 入れ る こと が で きる こと 

意味 する ワー ド 、 倍 精度 は 、2 ワ ー ド (64 ビ ッ ト ) で 格納 で きる こと を 意味 し ます 。 

GCC は MSVC が サポ ー ト し な い long double 型 (拡張 精度 、80 ビ ッ ト ) も サポ ー ト し て い 
ます 。 
float 型 は 、32 ビ ッ ト 環 境 で は 万 た 型 と 同じ ビッ ト 数 が 必要 で す が 、 数 値 表 現 は まっ た く 異 
な り ま す 。 


第 1.19.5 節 簡単 な 例 
この 簡単 な 例 を 考え て み ま し ょ う 。 


#include <stdio.h> 


double f (double a, double b) 
{ 


}; 


return a/3.14 + b*4.1; 


int main() 


{ 
}; 


printf ("%f\n", (1.2, 3.4)); 


х86 
MSVC 


MSVC 2010 で コン パイ ル し まし ょ う 。 
Listing 1.200: MSVC 2010: f( ) 


CONST SEGMENT 

_ reatG@4010666666666666 DQ 04010666666666666r ; 4.1 
CONST ENDS 

CONST SEGMENT 

_ real@40091eb851eb851f DQ 040091eb851eb851fr ; 3.14 
CONST ENDS 

_ TEXT SEGMENT 


_a$ = 8 ; size = 8 
_b$ = 16 ; size = 8 
_f PROC 

push ebp 

mov ebp, esp 


fld QWORD PTR a$[ebp] 


‚ 現在 の スタ ッ ク 状 態 : ST(0) = a 


fdiv QWORD PTR  realQ40091eb851eb851f 
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現在 の スタ ッ ク 状 態 : ST(0) = a を 3.14 で 割っ た 結果 


fld QWORD PTR _b$[ebp] 


; 現在 の スタ ッ ク 状 態 : ST(9) = _b; 
; ST(1) = a を 3.14 で 割っ た 結果 


fmul | QWORD PTR  realQ4010666666666666 


; 現在 の スタ ッ ク 状 態 : 
; ST(@) = b * 4.1 の 結果 : 
: ST(1) = _a を 3.14 で 割っ た 結果 


faddp ST(1) , ST(6) 


現在 の スタ ッ ク 状 態 : ST(9) = 加算 の 結果 


pop ebp 
ret 0 
_f ENDP 


FLD は スタ ッ ク か ら 8 バ イト を 取り 出し 、 そ の 数 値 を ST(9) レジ スタ に ロー ド し 、 内 
部 80 ビ ッ ト フ ォ ー マ ッ ト (拡張 精度 ) に 自動 的 に 変換 し ます 。 


ЕРІМ は 、ST(6) の 値 を アド レス reat@40091eb851eb851f に 格納 され た 数 値 で 除算 
し ます 。 値 3.14 は そこ に エン コー ド さ れ ま す 。 ア セン ブリ 構文 は 浮動 小数 点数 を サポ ー 
し て いな い の で 、64 ビ ッ ト IEEE 754 形 式 で の 3.14 の 16 進 表現 で す 。 


FDIV ST(0) の 実行 後に 商 が 保持 され ます 。 


ちな み に 、FDTIVP 命令 も あり ます 。 これ は 、ST( 1) を ST(0) で 除算 し 、 こ れ ら の 値 を ス 
タッ ク か ら ポ ッ プ し 、 そ の 結果 を プッ シュ し ます 。 あ な た が Forth 言 語 を 知っ て いれ ば 、 す 
ぐに これ が スタ ッ ク マ シン で ある こと が わか り ま す 。 


後続 の FLD 命令 は 、5 の 値 を スタ ッ ク に プッ シュ し ます 。 
その 後 、 商 は ST(1) に 置か れ 、ST(0) は ゎぁ の 値 を 持ち ます 。 


次 の FMUL 命令 は 乗算 を 行い ます 。ST(9) の 5 は _real@4010666666666666 (そこ に 
は 4.1 が 入る ) の 値 で 乗算 され 、 結 果 は ST(9) レジ スタ に 残り ます 。 


最後 の FADDP 命令 は 、 ス タッ ク の 先頭 に 2 つの 値 を 加算 し 、 結 果 を ST(1) に 格納 し た 後 、 
ST(0) の 値 を ポッ プ し 、ST(0) の スタ ッ ク の 先頭 に 結果 を 残し ます 。 


関数 は その 結果 を ST(9) レジ スタ に 戻す 必要 が ある た め 、FADDP 後 の 関数 エピ ロー グ 以 
外 の 命令 は あり ませ ん 。 
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MSVC + OllyDbg 


2 組 の 32 ビ ッ ト ワ ー ド は 、 ス タッ ク 内 で 赤色 で マー ク さ れ ま す 。 各 ペア は IEEE 754 形 式 の 


倍数 で 、main( ) か ら 渡 され ます 。 


最初 の FLD が スタ ッ ク か ら ど の よう に 値 (12) を ロー ド し 、 そ れ を ST(0) に 入れ る か を 


ERE 
arr бо 
FEDT gg16F9HC 

BB16F3HC 

8000090991 

88FF3388 

@@ЕЕ1@@6 

ES 9826 
CS 0023 
55 0026 
05 9626 
FS 0053 
GS 0026 


FLOAT LastErr 
00000206 


FLOAT 


simple.868 
= imDl=. ロ BFF 19 ロ 6 
FFFFFFFF) 
FFFFFFFF) 
FFFFFFFF) 
g(FFFFFFFF} 
7TEFDDaaatFFF) 
it GtFFFFFFFF) 


96860808 ERROR 
(NO, NB, NE PE, GE, G) 


а 
9 
( 
( 
( 


Prec NEAR, 
9623: 0GFF 1003 simple. 


ロロ ロロ | 


RETURN from simpl 


RETURN from simpl 


ASCII "phN-" 


БА 1.62: OllyDbg: 最初 の FLD が 実行 され た 


64 ビ ッ ト IEEE 754 浮 動 小数 点 か ら 80 ビ ッ ト (FPU 内 部 で 使用 され る ) へ の 避け られ な い 変 


換 エ ラー の た め 、 こ こ で は 1.299 に 近い 1.1999..… が 見 られ ます 。 


EIP は 次 の 命令 (FDIV ) を 指す よう に な り 、 メ モリ か ら 倍 精度 浮動 小数 点数 (定数 ) が ロロ 


ー ド され ます 。 便宜 上 、OllyDbg は 3.14 を 示し ます 。 
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さら に トレ ー ス し まし ょ う 。FDLIV が 実行 され まし た が 、ST(0) (20.382... ( 商 ) が 含ま れ 
て いま す 。 


CPU - main thread, module simple 


F1000 ES PUSH ЕВР | (FF 
aarriaa MOU EBP,ESP 66202848 
ggFF1993 FLD QUORD PTR SS:CARG.1] の 6E494214 ASCII "Hi-" 
ggFF1996 | FDIU ОШОО PTR DS:[gFF2gDg] 0060090000 
F190C | . 0045 FLD QUORD PTR SS:CARG.3] ` FLOAT recen: 
GOFF GBF FMUL QUORD PTR DS:[gFF2gCB] P 9616F9RC 
ggFF1915 FRDDP ST(1),ST gg16F9HC 


ggFF 191? P EBP 8000090001 


TB BFF3388 simple.00FF3388 


ggFF 1191 日 3 ggFF199C simple.00FF100C 


ggFF1g1B bina { 
32bit @(FFFFFFFF) 
99FF191D ЗОБ BFFFFFFFF) 
GOFFIGIE 32bit g(FFFFFFFF) 
ggFF191F | 32bit B(FFFFFFFF) 
ggFF192g 32bit 7EFDDggg(FFF 
2 | 32bit B(FFFFFFFF) 


ggFF 19 ど 1 
LastErr 00000000 ERRUR_SUCCI 


BFF 1923 
GOFF 1926 | 
00000206 (NO,NB,NE,A,NS,PE,G 


GOFF 192 ビ 
ggFF 192F 
ggFF 1932 
ggFF1938 
ggFF 193B 
ggFF 18468 
ggFF 1943 
GOFF 1846 


MOU EBP,ESP 


SUB ESP,8 

FLO GWORD PTR 05: COFF20E0) 
FSTP QUORD PTR 55: [LOCRL.21 
SUB ESP, 8 

FLO GUORD PTR DS:CGFF2008) 
FSTP QWORD PTR $S:CLOCAL. 41 rich 
CALL ggFF1ggg песо 
ADD ЕЅР,8 спре 
FSTP QWORD PTR_SS:[LOCRL.21 zoi 


SS 


,8) 


r Gococooo-c 


E 
E 


m 


* om om s m m n n n n dn 


empty 
3218 
3820 Cond 8 0 à 8 Err ð Ø 
FCW G2?F Prec NEHR,53 Mask 


aaióropa 
8016F9B4 
0016F988 
gg16F9BC 
ロロ 16F9C ロ 
0016F9C4 B 

ロロ 16F9C8 RETURN from simpl: 
gg16F9CC ロロ 
gg16F 908 3 ASCII "pN-” 
OG16F 904 ( 
8016F9DS 
gg16F9hC 
gg16F 9Eg 
aai6F9E4 
0016F9E8 
@@й16Е9ЕС 
0016F9F0|| aa16F9D8 
0016 4 90141679 


1.63: OllyDbg: FDIV が 実行 され た 
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3 番目 の ステ ッ プ : 次 の FLD が 実行 され 、ST(0) に 3.4 を ロー ド し ます (ここ で は 、 お よ 
そ 3.39999.… の 値 が 確認 で きま す )。 


CPU - main thread, module simple 


s 55 PUSH ЕВР 

SBEC MOU EBP,ESP 

0045 es FLO QWORD PTR SS:CARG. 17 
DC3S Da2aFFO!FDIU QWORD PTR 05: (GFF26D6] 
FLO QWORD PTR 55: CARG.3] 
ЕМО GWORD PTR DS:C 
dr 1),ST 


F 
E it @(FFFFFFFF) 
it g(FFFFFFFF) 
Bt FFFFFFFF) 
i Í| НЕ 
PUSH ЕВР F- t бЕр 
MOU EBP,ESP а G(FFFFFFFF) 
SUB ESP,8 = 
FLD QUORD PTR DS:[gFF2gEg] 
Е5ТР_ОШОВО PTR SS:[LOCHL.2] 
SUB ESP,8 
05 2gFFg( FLO GMORD PTR DS:[gFF2gDB] 
24 FSTP QUORD PTR $S:CLOCAL.4] 
ES COFFFFFF | CALL ggFF1ggg 
83 ADD ESP,8 
FSTP QWORD PTR SS:[LOCHL.2] 
FSET ggFF3 ロ gg 


++ ж ж ж э э ө э э oai 


Dnot 


Pr HERR,S3 M 
6623: 0ØFF100C simple. 


引 FF FF FF FF 
FE FF FF FF 


RETURN from simpl: 
II "pN-" 


1.64: OllyDbg: 2 回 目 の FLD が 実行 され た 


同時 に 、 商 は ST(1) に プ ブッ シュ され ます 。 5, EIP は 次 の 命令 FMUL を 指し て いま す 。 こ 
nit, OllyDbg が 示す メモ リ か ら 定 数 4.1 を ロー ド し ます 。 
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次 : FMUL が 実行 され た の で 、 積 は ST(9) に な り ま す 。 


CPU - main thread, module simple 


GOFF 1000 


ggFF 1901 
BFF 1663 
GOFF 1906 
GOFF 186C 
ロロ FF 19 ロ F 
BFF 1915 
BFF 191? 
ggFF 1918 
BFF 1919 
ggFF 191 日 
ggFF191B 
BFF 191 ビ 
ggFF 1910 
ggFF 191E 
ggFF 191F 
BFF 1920 
ggFF 1921 
BFF 19 どき 
ggFF 1926 
BFF 162C 
ggFF 19ZF 
ggFF 1932 
ggFF 1938 
ggFF193B 
ggFF 1940 
ggFF 1943 


‘GOFF S00). 


ggFF3g19 
aarrsa2n 


s 


83EC @8 


PUSH ЕВР 

MOU EBP,ESP 

FLD QWORD PTR SS:CARG. 17 
FDIU QWORD PTR 05: [BFF2gHg] 
FLO QWORD PTR SS: CARG.3] 


SUB ESP,8 


0005 DS2gFFgW FLO GWORD PTR DS:[GFF2gD8] 


001С24 
ES CƏFFFFFF 
834 08 


FSTP QWORD PTR SS:CLOCAL.4] 
CALL @@ЕЕ1@@@ 

ADD ESP, 8 

FSTP QWORD PTR SS 

PUSH OFFSET ggFF3I 


00202848 
6Е494714 ASCII "H(-" 
8009000009 
96988688 
gg16F9HC 
gg16F3HC 
0000900091 


ggFF3388 
ggFF1915 


LastErr 
00000206 


form s 
- empty 


3020 
6027F 
Last cmnd 


6G16F 9A) 
0016F9B0 
gg16F9B4 
0016F988 
gg16F3BC 
0016F9C0 
gg16F9C4 
8616F9C8 
@G16F9CC 
aai6ropa 
aai6F9D4 
0016F908 
gg16F3DC 
gg16F 9Eg 
gg16F9E4 
gg16F9E8 
@@16Е9ЕС 
@@й16Е9ЕЙ@ 
wp 9916F39F4 
OFS 


simple. @@FF3383 
simple. @GFF1615 


| 32bit BLFFFFFFFF) 
32bit B(FFFFFFFF) 
32bit B(FFFFFFFF) 
32bit BLFFFFFFFF) 
32bit ?EFDDg99(FFF) 
32bit B(FFFFFFFF) 


3218 
Cond 8 à a Ø 
Prec NEHR,53 


1.65: OllyDbg: FMUL が 実行 され た 


8000900000 ERROR SUCCESS 
t NO, NB, NE, A, NS, PE, GE, G) 


E 
Err Ü 
Mask 


RETURN from simpl: 
ASCII ”pN-” 
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次 に 、FADDP が 実行 され 、 加 人 算 結果 が ST(9) に な り 、ST(1) が クリ ア さ れ ま す 。 


CPU - main thread, module simple 


PUSH EBP 

MOU EBP,ESP 

FLD ОШОВП PTR SS:CARG. 

FDIU QWORD PTR BS: COE 200 
FLO QWORD PTR SS: CARG.3] 
FMUL QWORD PTR 05: (@FF26C3) 
FADDP STC1),ST 


it @(FFFFFFFF) 

it BLFFFFFFFF) 

it g(FFFFFFFF) 
BLFFFFFFFF) 
?EFDDggg(FFF) 


EBP f 
MOU EBP,ESP ロ (FFFFFFFF 


SUB ESP,8 

FLO QWORD PTR 05: [BFF2gEg] 
ШИТ QWORD PTR SS:CLOCAL.2] 
FLD ОШОВП PTR DS:[gFF2gD8] 


DD1C24 FSTP он m SS: LLOCRL.41 
ES CaFFFFFF | CALL aarFiaaa 
S3C4 a8 ADD 


IDAONDIO m mmmmmmmmiz 


mo 
m 


ESO 8 
DD1C24 FSTP QWORD PTR SS:CLOCAL.2] 
68 BaserFan PUSH OFFSET BFF3gg9g 


Ki stack T0016F9001F0016F9C4 
СӨР 0612.396 


gg16F9C4| 一 
DOFF 1 ロ 4| в RETURN from simpl 


RETURN from simpl 
ASCII ”pN-” 


1.66: OllyDbg: FADDP が 実行 され た 


関数 は その 値 を ST(0) に 戻す た め 、 結 果 は ST(0) に 残り ます 。 
main( ) は 後 で この 値 を レジ スタ か ら 取 得 did. 
13.93..…. 値 は 現在 ST(7) に 位置 し て いま す 。 ど うし て で し ょ うか ? 


この 本 の 中 で 少し 前 に 読ん だ こと が ある よう に 、FPU レ ジス タ は スタ ッ ク で す 。1.19.2 on 
page 268 し か し これ は 上 単純 化 さ れ て いま す 。 


説明 し た よう に ハー ドウ ェ ア で 実装 され て いる と し た ら 、 プ ッシュ と ポッ プ 中 に 7 つの レ 
ジス タ の すべ て の 内 容 を 隣接 する レジ スタ に 移動 (また は コピ ー) する 必要 が あり ます 。 


現実 に は 、FPU は 8 つの レジ スタ と 、 現 在 の 「 ト ッ プ ・ オ ブ ・ ス タッ ク 」 で ある レジ スタ 番 
号 を 含む ポイ ンタ (TOP と 呼ば れる ) と を 持ち ます 。 


値 が スタ ッ ク に プッ シュ され る と 、TOP は 次 に 使用 可能 な レジ スタ を ポイ ント し 、 そ の レ 
ジス タ に 値 が 書き 込ま れ ま す 。 


値 が ポッ プ さ れる と 、 プ ロ シ ー ジ ャ は 元 に 戻さ れ ま す が 、 解 放さ れ た レジ スタ は クリ ア さ 
れ ま せん (クリ ア さ れる 可能 性 が あり ます が 、 パ フォ ー マ ン ス が 低下 する 可能 性 が あり ま 
す )。 そ れ が ここ に ある 理由 で す 。 
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FADDP は スタ ッ ク に 合計 を 保存 し た 後 、 要 素 を 1 つ ポ ッ プ し た と 言え る で し ょ う 。 
し か し 、 実 際 に は 、 こ の 命令 は 合計 を 保存 し て か ら TOP に シフ ト し ます 。 
より 正確 に は 、FPU の レジ スタ は 循環 バッ ファ で す 。 


GCC 


GCC 4.4.1 (-03 オプ ショ ン 付 き ) は 、 わ ず か に 異な る 同じ コー ド を 出力 し ます : 
Listing 1.201: 最適 化 GCC 4.4.1 


public f 
f proc near 
arg 0 - qword ptr 8 
arg 8 - qword ptr 10h 
push ebp 
fld ds:dbl_ 8048608 ; 3.14 


; 現在 の スタ ッ ク 状 態 : ST(0) = 3.14 


mov ebp, esp 
fdivr [ebp+arg_0] 


: 現在 の スタ ッ ク 状 態 : ST(0) = 除算 の 結果 


fld ds:dbl 8048610 ; 4.1 


: 現在 の スタ ッ ク 状 態 : ST(0) = 4.1, ST(1) = 除算 の 結果 


fmut [ebp+arg_ 8] 


: 現在 の スタ ッ ク 状 態 : ST(6) = 乗算 の 結果 、ST(1) = 除算 の 結果 
pop ebp 


faddp st(1), st 


: 現在 の スタ ッ ク 状 態 : ST(0) = 加算 の 結果 


retn 
f endp 


違い は 、 ま ず 3.14 が スタ ッ ク (ST(0)) に プッ シュ され 、arg_6 の 値 が ST(0) の 値 で 除 
算 さ れる 点 で す 。 

FDIVR lt, Reverse Divide の 略 で 、 除 数 と 配当 を 入れ 替え て 割り ます 。 同様 に 乗算 命令 
は あり ませ ん 。 こ れ は 可 換 演算 で ある た め 、FMUL に は -R の 部 分 が な く て も か まい ませ ん 。 
FADDP は 2 つの 値 を 加算 する だ け で な く 、 ス タッ ク か ら 値 を 1 つ ポ ッ プ し ます 。 そ の 操作 の 
f$. ST(0) は 合計 を 保持 し ます 。 
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ARM: 最適 化 Xcode 4.6.3 (LLVM) (ARM モ ー ド ) 


ARM が 標準 化 さ れ た 浮動 小数 点 サ ポー ト を 得る まで 、 い くつ か の プロ セッ サー メー カー は 
独自 の 命令 拡張 を 追加 し まし た 。 次 に 、VFP (Vector Floating Point) を 標準 化し まし た 。 


x86 と の 重要 な 違い の 1 つ は 、ARM で は スタ ッ ク が な く 、 レ ジス タ だ け で 動作 する と いう こ 
と で す 。 


Listing 1.202: 最適 化 Xcode 4.6.3 (LLVM) (ARM モ ー ド ) 


f 
VLDR D16, =3.14 
VMOV 017, RO, R1 ; "a" を ロー ド 
VMOV 018, R2, R3 ; "b" を ロー ド 
VDIV.F64 D16, D17, D16 ; a/3.14 
VLDR D17, =4.1 
VMUL. F64 D17, D18, D17 ; b*4.1 
VADD.F64 D16, D17, D16 ; + 
VMOV RO, R1, D16 
BX LR 
dbl 2C98 DCFD 3.14 ; DATA XREF: f 
dbl 2CAO0 DCFD 4.1 ; DATA XREF: f+10 


そこ で 、 こ こ で は D の 接頭 辞 を 使用 し て 新しい レジ スタ を いく つか 見 て いき ます 。 


これ ら は 64 ビ ッ ト レ ジス タ で 、32 個 あり 、 浮 動 小 数 点数 (double) と SIMD(ARM で は NEON と 
呼ば れ ま す ) の 両方 に 使用 で きま す 。 


32 ビ ッ ト の 32 ビ ッ ト S5 レ ジス タ も あり 、 単 精度 浮動 小数 点数 (浮動 小数 点数 ) と し て 使用 
され ます 。 


許 記 する の は 簡単 で す .D レ ジス タ は 倍 精度 の 数 値 用 で あり 、S5 レ ジス タ は 単 精度 の 数 値 で 
+, 詳細 は : ?? on page ?? 


両方 の 定数 (3.14 と 4.1) は IEEE 754 形 式 で メモ リ に 格納 され ます 。 


VLDR と VMOV は 、 簡 単に 推測 で きる よう に 、LDR 命令 と MOV 命令 に 似 て いま す が 、D レ 
ジス タ で 動作 し ます 。 


これ ら の 命令 は 、D レ ジス タ と 同様 に 、 浮 動 小 数 点数 だ け で な く 、SIMD (NEON) 演算 に 
も 使用 で き 、 こ れ も す ぐに 表示 され る こと に 注意 し て くだ さい 。 


引数 は R レ ジス タ を 介し て 共通 の 方 法 で 関数 に 渡さ れ ま す が 、 倍 精度 の 各 数 値 の サイ ズ 
は 64 ビ ッ ト な の で 、 各 レジ スタ を 渡す に は 2 つの R レ ジス タ が 必要 で す 。 


VMOV D17, RO, R1 は RO と R1 か ら 2 つ の 32 ビ ッ ト 値 を 1 つの 64 ビ ッ ト 値 に 合成 し 、D17 
に 保存 し ます 。 


VMOV RO, R1, D16 は 逆 の 演算 で す 。 D16 に あっ た も の は 、RO と R1 の 2 つの レジ スタ に 
分 割 さ れ ま す 。 こ れ は 、 格納 に 64 ビ ッ ト 必 要 な 倍 精度 数 が RO と R1 に 返さ れる た めで す 。 


VDIV 、VMUL 、VADD は それ ぞ れ 商 、 積 、 和 を 計算 する 浮動 小数 点数 を 処理 する 命令 で す 。 
Thumb-2 の コー ド は 同じ で す 。 
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ARM: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


f 

PUSH {R3-R7,LR} 

MOVS R7, R2 

MOVS R4, R3 

MOVS R5, RO 

MOVS R6, В1 

LDR R2, =0x66666666 ; 4.1 

LDR R3, =0x40106666 

MOVS RO, R7 

MOVS R1, R4 

BL _ aeab1 dmut 

MOVS R7, RO 

MOVS R4, R1 

LDR R2, =0х51ЕВ851Е ; 3.14 

LDR R3, =0x40091EB8 

MOVS RO, R5 

MOVS R1, R6 

BL _ aeabi ddiv 

MOVS R2, R7 

MOVS R3, R4 

BL _ aeabi dadd 

POP {R3 -R7, PC} 
; IEEE 754 形 式 で 定数 4.1 
dword 364 DCD 0x66666666 ; DATA XREF: f+A 
dword 368 DCD 0x40106666 ; DATA XREF: f+C 
; IEEE 754 形 式 で 定数 3.14 
dword 36C DCD 0x51EB851F ; DATA XREF: f+1A 
dword 370 DCD 0x40091EB8 ; DATA XREF: f+1C 


Keil は FPU ま た は NEON を サポ ー ト し て いな い プ ロ セ ッ サ 用 の コー ド を 生成 し まし た 。 


倍 精度 浮動 小数 点数 は 、 汎 用 Rh レ ジス タ を 介し て 渡さ れ 、FPU 命 令 の 代わ り に 浮動 小数 
点数 の 乗算 、 除 算 、 加 算 を エミ ュ レ ー ト する サー ビス ライ ブラ リ 関 数 ( aeabi dmut、 
_ aeabi ddiv、 aeabi дада RE) が 呼び 出さ れ ま す 。 


も ちろ ん 、 そ れ は FPU コ プロ セッ サ よ り も 遅い で す が 、 何 も な いよ り は まし で す 。 


と ころ で 、 同 様 の FPU エ ミュ レー トラ イブ ラリ は 、 コ プロ セッ サ が 貴重 で 高価 で 、 高 価 な 
コン ピュ ー タ に し か イン スト ー ル され て いな か っ た x86 の 世界 で 非常 に 人 気 が あ り ま し た 。 


FPU コ プロ セッ サエ ミュ レー ショ ン は 、ARM ワ ー ル ド で は ソフ ト フ ロー ト ま た は armel 
(エミ ュ レ ーション ) と 呼ば れ 、 コ プロ セッ サ の FPU 命 令 は ハー ド フ ロー ト ま た は armhf 
と 呼ば れ ま す 。 
ARM64: 最適 化 GCC (Linaro) 4.9 
と っ て も コン パク ト な コー ド で す 。 

Listing 1.203: 最適 化 GCC (Linaro) 4.9 


|f: 
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; DO 
; D2 
‚ DO 
; D2 


‚ DO 


4.1 
fmadd 


= b 
d2, .LC25 ; 3.14 
dO, dO, d2 

= a/3.14 
d2, .LC26 Д.17. 
dO, dl, 42, dO 


D1*D2+D0 = b*4.1+a/3.14 


ret 


; IEEE 754 形 式 の 定数 
.LC25: 


.LC26: 


.word 
.word 


.word 
.word 


1374389535 ; 3.14 
1074339512 

1717986918 ; 4.1 
1074816614 


ARM64: 非 最適 化 GCC (Linaro) 4.9 


Listing 1.204: 非 最適 化 GCC (Linaro) 4.9 


sub sp, sp, #16 

str аб, [sp,8] ; レジ スタ の 保存 領域 に "a" を 保存 する 

str dl, [sp] ; レジ スタ の 保存 領域 に "b" を 保存 する 
ldr X1, [sp,8] 
a 

ldr x0, .LC25 
3.14 

fmov dO, x1 

fmov dl, x0 

a, D1 = 3.14 

fdiv dO, 40, 41 
DO/D1 = a/3.14 

fmov x1, 40 
a/3.14 

ldr x2, [sp] 

b 

ldr x0, .LC26 
4.1 

fmov d0, x2 

b 

fmov dl, x0 
4.1 

fmul dQ, dO, dl 
DO*D1 = b*4.1 

fmov x0, dO 

DO = b*4.1 

fmov dO, x1 
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; DO = a/3.14 
fmov dl, x0 
; D1 = XO = b*4.1 
fadd dQ, dO, dl 


; DO = DO+D1 = a/3.14 + b*4.1 
fmov x0, d0 ; \ 冗長 符号 
fmov d0, x0 ; / 
add sp, sp, 16 
ret 

.LC25: 
.word 1374389535 ; 3.14 
.word 1074339512 

.LC26: 


.word 1717986918 ; 4.1 
.word 1074816614 


非 最 適 化 GCCC は も っ と 冗長 で す 。 

いく つか の 明確 に 冗長 な コー ド (最後 の 2 つの FMOV 命令 ) を 含む 、 不 要 な 値 の シャ ッ フ 
ル が 多く あり ます 。 お そら く 、GCC 4.9 は まだ ARM64 コ ー ド を 生成 する の に 適し て いま せ 
ん 。 

注目 すべ きこ と は 、ARM64 に は 64 ビ ッ ト の レジ スタ が あり 、D レ ジス タ に は 64 ビ ッ ト の レ 
ジス タ も 含ま れ て いる と いう こと で す 。 

し た が っ て 、 コ ン パ イラ は ロー カル スタ ッ ク で は な く GPR に double 型 の 値 を 自由 に 保存 
で きま す 。 こ れ は 32 ビ ッ ト CPU で は 不可 能 で す 。 


また 、 エ クサ サイ ズ と し て 、FMADD の よう な 新しい 命令 を 導入 する こと な く 、 こ の 機能 
手動 で 最適 化し て みる こと が で きま す 。 


第 1.19.6 節 


#include <math.h> 
#include <stdio.h> 


int main () 


t 
printf ("32.01 ^ 1.54 = %lf\n", pow (32.01,1.54)); 
return 0; 

} 

х86 


(MSVC 2010) で 見 て み ま し ょ う 
Listing 1.205: MSVC 2010 


CONST SEGMENT 
__real@40400147ael47ael DQ 040400147ае147ае1г х 32,01 
. realQ3ff8a3d70a3d70a4 DQ 03ff8a3d70a3d70a4r ; 1.54 


281 


CONST ENDS 


_main PROC 
push ebp 
mov ebp, esp 


sub esp, 8 ; 最初 の 変数 に 領域 を 確保 

fld QWORD PTR _ real@3ff8a3d70a3d70a4 
fstp QWORD PTR [esp] 
sub esp, 8 : 2 番目 の 変数 に 領域 を 確保 
fld QWORD РТА _ real@40400147ae147ael 
fstp | QWORD PTR [esp] 

call ром 

add esp, 8 ; 1 つの 変数 の 領域 を 7 戻す ツ 7 


: ロー カル スタ ッ ク に まだ 8 バイ ト 空 き が ある 
: 結果 が ST(0) に 


; printf() に 渡す た め に 結果 を ST(9) か ら ロ ー カ ルス タッ ク に 移す : 
fstp | QWORD PTR [esp] 
push OFFSET $SG2651 
call printf 
add esp, 12 


xor eax, eax 
pop ebp 
ret 0 

main ENDP 


FLD お よび FSTP は 、 デ ー タ セグ メン ト と FPU ス タッ ク と の 間 の 変数 を 移動 し ます 。 pow( ) 
10 は スタ ッ ク か ら 両 方 の 値 を と り 、 そ の 結果 を ST(0) レジ スタ に 返し ます 。printf( ) 


は ロー カル スタ ッ ク か ら 8 バ イト を 取り 出し 、double 型 の 変数 と し て 解釈 し ます 。 


ちな み に 、 メ モリ 内 の 値 は IEEE 754 形 式 で 格納 され 、pow() も この 形式 で 格納 され て いる 
た め 、 値 を メモ リ か ら ス タッ ク に 移動 する た め の 一 対 の MOV 命令 を 使用 で き 、 変 換 は 不要 


ECF, これ は ARM の た め の 次 の 例 で 行わ れ ま す : 1.19.6 


ARM + 非 最適 化 Xcode 4.6.3 (LLVM) (Thumb-2 モ ー ド ) 


_main 

var C = -0xC 
PUSH {R7,LR} 
MOV R7, SP 
SUB SP, SP, #4 
VLDR D16, =32.01 
VMOV RO, R1, D16 
VLDR D16, =1.54 
VMOV R2, R3, D16 
BLX _ pow 
VMOV D16, RO, R1 
MOV RO, OxFC1 ; "32.01 ^ 1.54 = %lf\n" 


110 標 準 的 な C 関 数 で あり 、 与 えら れ た べき 乗 (指数 関数 ) 


282 


ADD RO, PC 

VMOV R1, R2, D16 

BLX | printf 

MOVS R1, 0 

STR RO, [SP,ZO0xC-var C] 

MOV RO, R1 

ADD SP, SP, #4 

POP {R7, PC} 
dbL 2F90 DCFD 32.01 ; DATA XREF: _main+6 
dbl 2F98 DCFD 1.54 ; DATA XREF: _main+E 


前 に 述べ た よう に 、64 ビ ッ ト の 浮動 ポイ ンタ 番号 は R ト レジ スタ の ペア で 渡さ れ ま す 。 

D- レ ジス タ に 触れ る こと な く 直 接 R レ ジス タ に 値 を ロー ド す る こと が で きる の で 、 こ の コ 
ー ド は 少し 冗長 で す (最適 化 が オフ に な っ て いる た めで す )。 

し た が っ て 、 見 て きた よう に 、 pow 関数 は RO と R1 で 最初 の 引数 を 受け 取り 、R2 と ВЗ 


で 2 番目 の 引数 を 受け 取り ます 。 関 数 は 、 そ の 結果 を ROL R1 の まま に し ます 。 pow の 
結果 は D16 に 移動 し 、 次 に RL と R の ペア で printf( ) が 結果 の 数 値 を 取得 し ます 。 


ARM 非 最適 化 Keil 6/2013 (ARM モ ー ド ) 


_main 

STMFD SP!, {R4-R6,LR} 

LDR R2, =0xA3D70A4 ; y 

LDR R3, =0x3FF8A3D7 

LDR RO, =0хАЕ147АЕ1 ; x 

LDR R1, =0x40400147 

BL pow 

MOV R4, RO 

MOV R2, R4 

MOV R3, R1 

ADR RO, a32 011 541? ; "32.01 ^ 1.54 = %lf\n" 

BL _ 2printf 

MOV RO, #0 

LDMFD SP!, {R4-R6,PC} 
y DCD OxA3D70A4 ; DATA XREF: таіп+4 
dword 520 DCD Ox3FF8A3D7 ; DATA XREF: таіп+8 
x DCD OxAE147AE1 ; DATA XREF: таіп+С 
dword 528 DCD 0x40400147 ; DATA XREF: таіп+10 


a32 011 54Lf DCB "32.01 ^ 1.54 = %lf",0xA,0 
; DATA XREF: таіп+24 


D レ ジス タ は ここ で は 使用 され ず 、R レ ジス タ の ペア の み が 使 用 され ます 。 


ARM64 + 最適 化 GCC (Linaro) 4.9 


Listing 1.206: 最適 化 GCC (Linaro) 4.9 
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stp x29, x30, [sp, -16]! 

add x29, sp, Ө 

ldr dl, .1С1 ; 1.54 を D1 に ロー ド 
ldr аб, .LCO ; 32.01 を D9 に ロー ド 
bl pow 


; pow() の 結果 を DO に 
adrp x0, .LC2 


add x0, x0, :1012:.LC2 
bl printf 

mov w0, 0 

1ар x29, x30, [sp], 16 
ret 


.LCO: 
; IEEE 754 形 式 で 32.01 
.word -1374389535 
.word 1077936455 
.LC1: 
; IEEE 754 形 式 で 1.54 
.word 171798692 
.word 1073259479 
.LC2: 
.string "32.01 ^ 1.54 = %lf\n" 


定数 は DO と D1 に ロー ド さ れ ま す 。 pow() は 定数 を そこ か ら 取 り 出 し ます 。 結果 は 、 
pow( ) の 実行 後に DO に 格納 され ます 。 変更 や 移動 を せ ず に printf( ) に 渡す 必要 が あり 
ます 。 これ は 、printf( ) は 、X レ ジス タ か ら の integral types と ポイ ンタ と D レ ジス タ か 


ら の 浮動 小数 点 引数 の 引数 を と り ま す 。 


第 1.19.7 節 比較 の 例 
これ を 試し て み ま し ょ う 


#include <stdio.h> 


double d max (double a, double b) 


{ 
if (a>b) 
return a; 
return b; 
}; 
int main() 
{ 
printf ("%Т\п", d max (1.2, 3.4)); 
printf ("%Т\п", d max (5.6, -4)); 
}; 


機能 の 単純 さ に も か か わら ず 、 そ れ が どの よう に 機能 する か を 理解 する こと は 難し いで し 


よう 。 
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x86 
非 最 適 化 MSVC 


MSVC 2010 は 以下 の コー ド を 生成 し ます 。 
Listing 1.207: 非 最適 化 MSVC 2010 


PUBLIC _d max 
_TEXT SEGMENT 
_а$ = 8 ; size = 8 
_b$ = 16 ; size = 8 
_d тах PROC 

push ebp 

mov ebp, esp 


fld QWORD PTR b$[ebp] 


; 現在 の スタ ッ ク 状 態 : ST(9) = b 
; b (ST(0) ) と a を 比較 し 、 レ ジス タ を ポッ プ 
fcomp QWORD PTR а$[ерр] 


; スタ ッ ク は 空 


fnstsw ax 
test ah, 5 
jp SHORT $LN1Gd max 


; a>b の 場合 の みこ こ に 来 ま す 


ftd QWORD PTR _a$[ebp] 
jmp SHORT $LN2@d_max 


$LN1@d_max: 

fld QWORD PTR _b$[ebp] 
$LN2@d_max: 

pop ebp 

ret 0 
_d max ENDP 


FLD は b を ST(0) に ロー ド し ます 。 

FCOMP は ST(0) の 値 と _a の 値 を 比較 し 、 そ れ に 応じ て FPU ス テー タス ワー ドレ ジス タ 
の C3/C2/C0 ビッ ト を 設定 し ます 。 こ れ は 、FPU の 現在 の 状態 を 反映 する 16 ビ ッ ト の レジ 
スタ で す 。 

ビッ ト が セッ ト さ れる と 、FCOMP 命令 は スタ ッ ク か ら 1 つ の 変数 も ポッ プ し ます 。 こ れ は 、 
値 を 比較 し て スタ ッ ク を 同じ 状態 に し て お く FCOM と は 区 別 さ れ ま す 。 

残念 な が ら 、 イ ン テ ル P6 111 より 前 の CPU に は 、C3/C2/CO9 ビッ ト を チェ ッ ク す る 条件 付き 
ジャ ンプ 命令 は あり ませ ん 。 お そら く 、 そ れ は 歴史 の 問題 で す 。( 思 い 起 こし て みて くだ さ 
い : FPU は 過去 に 別 の チッ プ で し た ) 

イン テル P6 で 始ま る 最新 の CPU は 、FCOMT/FCOMTP/FUCOMT/FUCOMTP 命令 を 持っ て いて 、 
同じ こと を し ます が 、ZF/PF/CF CPU フラ グ を 変更 し ます 。 


11 イ ン テ ル P6 は Pentium Pro, Pentium Il な ど で す 。 
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FNSTSW 命令 は 状態 レジ スタ で ある FPU を AX に コピ ー し ます 。C3/C2/CO9 ビッ ト は 14/10/8 の 
位置 に 配置 され 、AX レジ スタ の 同じ 位置 に あり 、AX 一 AH の 上 位 部 分 に 配置 され ます 。 


・ この 例 で は 5>。 の 場合 、C3/C2/CO9 ビッ ト は 0,0,0 と 設定 し ます 。 

・g> ち の 場合 、 ビ ッ ト は 0,0,1 で す 。 

° a=b の 場合 、 ビ ッ ト は 1,.0,.0 で す 。 

・ 結果 が 順序 付け られ て いな い 場 合 (エラ ー の 場合 )、 セ ッ ト さ れ た ビッ ト は 1.,1,1,1 で 


° 


これ は 、C3/C2/C6 ビッ ト が AX レジ スタ に どの よう に 配置 され る か を 示し て いま す 。 


10 9 8 


= C2C1C0 


これ は 、C3/C2/CO ビッ ト が АН レジ スタ に どの よう に 配置 され る か を 示し て いま す 。 


1 


C3 cacica 


test ah, 5112 の 実行 後 、CO と C2 ビッ ト (0 と 2 の 位置 ) の み が 考 慮 され 、 他 の ビッ ト は 
すべ て 無視 され ます 。 


さて 、 パ リティ ー フ ラグ と 注目 すべ きも う 1 つ の 歴史 的 基礎 に つい て お 話し まし ょ う 。 


この フラ グ は 、 最 後 の 計算 結果 の 1 の 数 が 偶数 の 場合 は 1 に 設定 され 、 奇 数 の 場合 は 0 に 設 
定 さ れ ま す 。 


Wikipedia*3 を 見 て み ま し ょ う : 


パリ ティ フラ グ を テス ト す る 一 般 的 な 理由 の 1 つ に 、 無 関係 な FPU フ ラ 
グ を チェ ッ ク す る こと が あり ます 。FPU に は 4 つの 条件 フラ グ (C0—C3) が 
あり ます が 、 直接 テス ト す る こと は で きず 、 最初 に フラ グレ ジス タ に コピ ー 
する 必要 が あり ます 。 これが 起こ る と 、CO0 は キャ リー フラ グ に 、C2 は パリ 
ティ フラ グ に 、C3 は ゼロ フラ グ に 置か れ ま す 。C2 フ ラグ は 、 例 えば 比較 で 
き な い 浮動 小数 点 値 (NaN ま た は サポ ー ト され て いな い 形 式 ) が FUCOM 命 
令 と 比較 され ます 。 


Wikipedia で 述べ られ て いる よう に 、 パ リティ フラ グ は FPU コ ー ド で 使用 され る こと が あ 
り ま す 。 


CO と C2 の 両方 が 0 に 設定 され て いる 場合 、PF フラ グ は 1 に 設定 され ます 。 そ の 場合 、 後 
続 の JP (jump if PF==1) が 実行 され ます 。 い ろ い ろ な 場合 の C3/C2/CQ ү ча 
と 、 条 件 ジャ ンプ IP ld. boa また は 。= ヵ の 場合 に 実行 され ます 。(test ah, 5 命令 に 
よっ て クリ ア さ れ て いる の で 、C3 ビッ ト は こ こ で は 考慮 され て いま せん ) 


それ 以降 は すべ て 簡単 で す 。 条 件 付き ジャ ンプ が 実行 され た 場合 、FLD は ST(0) O b 
の 値 を ロー ド し 、 実 行 さ れ て いな けれ ば a の 値 を ロー ド し ます 。 


1125=101b 
H3https://en.wikipedia.org/wiki/Parity flag 
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C2? の チェ ッ ク は ? 


C2 フラ グ は エラ ー (NaN な ど ) の 場合 に 設定 され ます が 、 コ ー ド で は チェ ッ ク さ れ ま せん 。 
プロ グラ マ が FPU エ ラー を 気 に す る 場合 は 、 チ ェ ッ ク を 追加 する 必要 が あり ます 。 
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最初 の OllyDbg の 例 : a=1.2 と b=3.4 


OllyDbg で 例 を ロー ド し て み ま し ょ う 。 


CPU - main thread, module d max [ [Dl x| 
- 


PUSH ЕВР 
MOU EBP, ESP 

FLO WORD PTR SS: CARG. 3] MSUCR100.__initenv 
FCOMP GMORD PTR 55: САА. 17 nee 
FSTSW AX 

TEST AH, oS 

JPE SHORT ggFC1915 

FLO QUORD PTR SS:CARG. 17 
JHP SHORT ЙЙЕС1Й18 


FLO QWORD PTR SS:CARG.3] iae 
aFC1886 


Gt FFFFFFFF) 
Gt FFFFFFFF) 
g(FFFFFFFF) 
Qt FFFFFFFF) 
7EFDDGGO( FFF) 
2 B(FFFFFFFF) 
PUSH EBP BO: ERRO 

MOU EBP,ESP 36 ERROR 
SUB ЕЗР,8 

DDg5 EBeaFCO!FLD GMOR PTR 05: СОЕС20Е0Ј 
DD1C24 FSTP QUDRD PTR $$:CLOCAL. 21 
83EC 08 SUB ESP, 

Does FLO WORD PTR 05: [FC2gD8] 
FSTP QWORD PTR SS:CLOCAL. 4] 
ЕВ COFFFFFF | CALL gaFC1ggg 

83c4 88 8 


++ ж ж ж om m э n Arn 


tack Ltd 41=1. 
ST=3. 399999999999999 


NEAR, 53 
nd 0023: ggFE1993 а г 


41FEDC IE EF4 Тай 
казаа КЧ КЕШ RETURN from d_max 


A 
FF РЕ FF РЕ FF 
FE FF FF FF i 


RETURN from d mas 


БА 1.67: OllyDbg: 最初 の FLD が 実行 され る 


関数 の 引数 : 。=1.2 と 5=3.4 (スタ ッ ク で 見 る こと が で きま す 。32 ビ ッ ト 値 の 2 組 の ペ 
ア で す ) 5 (3.4) は ST(9) に すでに ロー ド さ れ て いま す 。 そ し て FCOMP が 実行 され ます 。 
OllyDbg は 次 の FCOMP の 引数 を 表示 し ます 。 ス タッ ク に あり ます 。 
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ЕСОМР が 実行 され ます 。 


CPU - main thread, module d max 


PUSH ЕВР 
FLD GMORD PTR SS: LARG. 31 254 
FCOMP GUORD PTR 55: 086.12 - 6E494714 ISUCR199.- in ttenv 


BB ロ 


TEST HH,g5 1 
a841FEDC 
JPE SHORT ggFC1g15 gg41FEDC 


CE pex 1 nemen 
FLD GMRD PTR 55: CARG.3] 99FCS388 d_max.OOFCS388 
ggFC1g18 POP ЕВР 99FC1999 d_max.GGFC1009 
ggFC1919 N gg2B 32bit g(FFFFFFFF) 
а 0023 32bit @(FFFFFFFF) 
GAFC191C SS gg2B 32bit 9(FFFFFFFF) 
GOFC161D NT ろ 5 gd2B 32bit 9(FFFFFFFF) 
ggFC191E gg53 32bit EFDggg(FFF} 
1 gg2B 32bit G(FFFFFFFF) 


ggFC191F 
OO ESP ESP LastErr 99099000 ERROR SUCCESS 


2a 
SUB ESP,8 ggggg2g6 (NO,NB,NE,R, NS, PE, GE, G) 
0005 EG2aFCOlFLD GUORD PTR DS:LOFC2GEO1 STO empty 
DDiC24 FSTP QUORD PTR SS:[LOCHL.2] ST1 empty 0. 
S3EC 88 SUB ESP,8 empty 8; 
0005 DaearCe!FLD QWORD PTR DS: [ƏFC20D81 empty 0. 
DDiC24 FSTP OUORD PTR $S:CLOCAL.4] EDU 
ЕЗ COFFFFFF |CALL Q0FC1000 empty 
83C4 98 HDD ES empty 
REg (C3-0 co-o Cico CÓ-0 ES- трин 
= gggg 9 ene 
1 


. ss o oarl 
< 


< 


gaFC1913 
ggFC1915 


ve 


s 


g27F 
Last cmnd 0023: ggFC1gg6 m ms 906 


i EF4 Tm 
BOFC1O40 


Ө H(+ hh 


33 
gg41FF38 
ggFC11F ロ RETURN from d mas 
60600061) 日 
00194E68 
66192848] Ht 
В528@ЕЗЕ| >* 
ロロ 
00000000 
TEFDEGGG 
aeaaaoana 
66600088 
aa41FFaS 


1.68: OllyDbg: FCOMP が 実行 され る 


FPU 条 件 フラ グ の 状態 を 見 る こと が で きま す 。 す べ て 0 で す 。 ポ ッ プ され た 値 は ST(7) に 
反映 され ます 。 この 理由 に つい て は 前 に 書き ま し た : 1.19.5 on page 275. 


FNSTSW が 実行 され ます 。 


CPU - main thread, module d max 


ggFC1ggg PUSH ЕВР 
ggFC1991 ВЕС MOU EBP, ESP 

FLO QUORD PTR SS:LRRG.21 E 
FCOMP QUORD PTR ŠS:[RR6.11 wn 
FSTSW AX 

TEST 


AH, 0S 
JPE SHORT QAFC1915 
ce Pulsa x 
FLO QWORD PTR SS: CARG.31 EDI ggFC3 as DORE Seed 
POP ЕВР EIP GBFCIOBB d_max.G9FC1008 


BETN C Gl FFFFFFFF) 

Ia G(FFFFFFFF) 

INTS it G(FFFFFFFF) 

E BLEFFFFFFE) 

ints 7EFDDGG0( FFF) 
3 gg2E 32bit G(FFFFFFFF) 


INT3 
И gggggggg ERROR SUCCESS 
SUB ESP.8 880002806 (NO,NB,NE, А, NS, PE, GE, G) 
FLO GWORD PTR DS:[gFC2gEg] anptu 0.8 
FSTP QUORD PTR $$:CLOCAL.2] empty 0.0 
SUB ESP,8 2 emote B O 
FLO QUORD PTR DS:[gFC29D8] empty 0-9 
FSTP QWORD PTR 55: CLOCAL. 4] Dto O O 

а 

а 

9 


— initenu 


FC192g 
aarcia2i 
HERES. 


COAONDD 
Gococoo-c 


ggFC1932 

ggFC1938 

GAFC193B 
840 


mom om m m m m n n dr 


CALL aarciaaa empty 
юру 

ADD Е5Р,8 5 епоси : 

7 empty 3. 


99 


99 
32 
E Cond 8 


941FEDC 

EE 004 1FEE ロ 

9941FEEB 

=a ð sig |2 2 

G04 1FEEC 

9 H(+ hh BB41FEFÓ 

gg41FEF4| | 9041FF28 

gg41FEF8|LggFC11F 

9941FEFC| rggg99991 

941FF9g 

41FFg4 

SE 

> 4 

99FC39B9 e e de 9941FF19 
aarcaapa| Ё z a oa ac ^ ^ а 

ggFC3gEg 


авесзіер вв ве HO Bole за 99|99 0 80) 00 e g941FF24 43260308 


1.69: OllyDbg: FNSTSW が 実行 され る 


AX レジ スタ が 0 で ある の が 見 えま す 。 0, 条件 フラ グ は すべ て ゼロ で す 。 (OllyDbg は 
FNSTSW 命令 を FSTSM と し て ディ ス ア セン ブル し ます 。 こ れ は 同義 語 で す ) 
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TEST が 実行 され ます 。 


CPU - main thread, module d max 


ggFC199g PUSH EBP 

FLD BMDRD PTR SS CARG. 21 A 

FCOMP QUORD PTR $$: CARG. 11 В 14 M"ISUCR100. —initenv 
ЕТЕШ АХ 9999999 

TEST AH, 05 
JPE 


SHORT ØØFC1015 

FLO QWORD PTR SS:CARG.1] 

ШИР SHORT ggFC1g18 - FC3888 

FLD GWORD PTR SS:[HRG.3] eres 

POP ЕВР а ロロ FC1 ロ ggE 
g(FFFFFFFF) 
BLFFFFFFFF) 
@( FFFFFFFF) 
BLFFFFFFFF) 

8853 32bit YEFDDggg(FFF) 

gg2B @(FFFFFFFF) 


syve mme mm n ar 


MOU EBP, ESP 66006088 ERROR_SUCCESS 
SUB ESP,8 (МО, NB, E, BE, NS, PE, GE, LE) 
FLO GWORD PTR DS:LG8FC28EG1 © 

FSTP QWORD PTR SS:LLOCRL.21 
ロロ FC192F SUB ESP,8 


ggFC1932 De2arca FLD QUORD PTR DS:[gFC2gD8] 
FSTP QWORD PTR SS:CLOCAL.4] 


CALL aarciaaa 
ADD ESP 


а 

gg 
gg 
gg 
gg 
gg 
gg 
gg 
ай 


Jump is taken 
Dest-d mas. GüFC1B15 


TOT 40 


RETURN from d mas 


8 *Ë i - * 
H(+ hh 


RETURN from d_max 


1.70: OllyDbg: TEST が 実行 され る 


PF フラ グ が 1 に セッ ト さ れ ま す 。 


実際 、 0 に セ ッ ト さ れる ビッ ト の 数 は 0 で 0 は 偶数 で す 。OllyDbg は JP JPEE LTF 
ィ ス アセ ン ブ ル し ます 。 こ れ は 同義 語 で す 。 そ し て 、 実 行 さ れ ま す 。 


114jump Parity Even (x86 命 令 ) 
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JPE が 実行 され 、FLD は b (3.4) の 値 を ST(9) に ロー ド し ます 。 


CPU - main thread, module d max 


QOFC1000 PS 55 PUSH ЕВР E s (FP 
89FC1993 PLD BUDD PTR 55: [ARG. 3] Ens 09120090 

C1003 : А H 3 inite 
ggFC1g96 FCOMP QWORD PTR 55: СААС. 11 =s, に ISUCR199. 一 in ttenu 


ggFC1gg9 DFE FSTSW_AX 
TEST AH, 05 EBX 9gg ロ 99g9g 


@@ЕС1@@в 
JPE SHORT ggFC1915 EBD 9941FEF4 


FLO QWORD PTR SS:LRRG.11 

» ESI 00000001 
JMP SHORT ggFC1g18 С 4 
FLD OWORD PTR SSi[HRG。3] EDI @@FC3388 d_max.@@FCS333 
POP EBP EIP ggFC1919 d_max.0ØFC1019 


ES 32bit @(FFFFFFFF) 
cs 32bit @(FFFFFFFF) 
2B 32bit @(FFFFFFFF) 
32bit @(FFFFFFFF) 

32bit vEFDDaGatFFF) 
32bit @(FFFFFFFF) 


MOU EBP, ESP LastErr gggggggg ERROR SUCCESS 


SUB ESP,8 EFL 00000246 (NO,NB,E,BE,NS,PE,GE,LE) 
FLO QWORD PTR DS: (@FC2GE6] 
FSTP_QWORD PTR SS:CLOCAL.2] 
SUB ESP,8 


FLD QWORD PTR 05: [ƏFC20D8J eo 
FSTP QUÜRD PTR SS:LLOCRL.41 acta 
CALL 99FC1ggg + 
ADD ESP,8 


ggFC19g1F 
@@ЕС1@2@ 
ggFC19g ど 1 
aarcia2s 
aarcia26 
aarciaac 
aarcia2F 
ОВЕС1932 
aarciass 


[== Еа ы, [е] 
mee S TD 


+... жол 


ggFC193B 
empty 
SBF C1840 empty 


Top of stack [0041FEE0 Sd тан. DOFC1040 empty ee 


3800 Cond 0 8 à Ø Err ü 
G27F Prec HERR,S3 Mask 
Last сипа 0023:00FC1015 а_ман.йй 


[пызы тик —Q 904 1FEED 3 MF RETURN from d. 
E gg41FEE4 333| 333 

C2010 - E ` 0041FEES|| : БЕ; 

0041FEEC 

0041FEFO 

0041FEF4 

gg41FEFS 

gg41FEFC 

@@41ЕЕ@@ 

0041FF04 

0041FF08 

@@41ЕЕ@С 

0041FF10 

0041FF14 

gg41FF18 

gg41FF 1C 

gg41FF2g 

gg41FF24 

gg41FF28 R Pointer to next Sly. 


1.71: OllyDbg: 次 の FLD が 実行 され る 


関数 が 終了 し ます 。 


292 


次 の OllyDbg の 例 : a=5.6 と b=-4 


例 を OllyDbg に ロー ド し て み ま し ょ う 。 


CPU - main thread, module d max 


НО) EBP, ESP : 
z E 
FLD GWORD PTR SS:CARG.3] тиен 
ЕСОНР QUORD PTR 55: CARG.1] er MSUCR100. 6E445617 
8 


) ae AG 

TEST HH,g5 

Ë gg41FEDC 
JPE SHORT ggFC1g15 
FLD GWORD PTR SS:CARG.1] B petal 
ШИР SHORT ggFC1g18 DI рава 
FLD GWORD PTR SS:IRRG.31 
POP ЕВР FC1 ロ 96 


RETN FFFFFFFF) 
H FFFFFFFF) 
IN ; B(FFFFFFFF) 
IN t B(FFFFFFFF) 
Е ?EFDDggg(FFF} 
IN g(FFFFFFFF} 
КЕБ cee LastErr @ 00 ERROR SUCCESS 
SUB ESP,8 EFL_00000206 (N 

FLD QUORD PTR DS: [FC2gEg] 

FSTP GWORD PTR SS: [LOCHL.2] 

SUB ESP, 


FLD GWORD PTR DS: [ƏFC20D81J 
FSTP QWORD PTR SS:CLOCAL.4] 
CALL @@ЕС1@@@ 


ANDTO 


c 


$ 


a ЪЁ іЯ - ж 
H(+ hN4 


Б] 1.72: OllyDbg: 最初 の FLD が 実行 され る 


関数 の 引数 : = 5.6 & b= -4b (-4) は すでに ST(0) に ロー ド さ れ て いま す 。 FCOMP は 実 
行 さ れ ま す 。OllyDbg は 次 の FCOMP の 引数 を 表示 し ます 。 ス タッ ク に あり ます 。 


ЕСОМР が 実行 され ます 。 


CPU - main thread, module d max 
dE PUSH EBP 


FLD BWORD PTR SS: CARG. 3] ETE 

| EEDME GUDRD PTR SS TARG 11 ーー 6Е445617 MSUCRIGU. GE445617 

FSTSW AX DURO 

TEST AH, 8S revi pete 

а JPE SHORT ggFC1g15 HEELE 

E uu cim T 
213 > — 
BOFCIB15 FLD QUORD PTR SS:LRRG.31 @0РС3388 а ман.00РС3988 
ggFC1g18 5D POP EBP ggFC1g99 d_man.ggFC1 ロ 9 


ggFC1919 C B2B 32bit g(FFFFFFFF) 
[шн 
ggFC191B i E 2bit 
redis prs B 32bit g(FFFFFFFF) 
253 32bit EFDggg(FFF) 
32bit g(FFFFFFFF) 


HOU EBP, ESP gggg9ggg ERROR SUCCESS 


SUB ESP,8 8080000206 (NO,NB,NE,R,NS,PE, GE, GJ 
FLD GWORD PTR DS:[gFC2gEg] TO enpty 

FSTP GMORD PTR SS: [LCHL.2] ST1 епрсу 0 
SUB ESP,8 кы 
FLD ОШОВО PTR DS: [FC2gD8] кы 
FSTP GWORD PTR SS:[LOCHL.4] Т9 anpty Ө 
CALL ййЕС1@@й ST5 empty à 
à 4 4 ADD ES empty 
FST=9199 (CS empty Qaqaqooooooooo 
HX= ロ gg9 E : 


š 


OCD 


ҒО Zf] 
. B tix 
айййййдй 
Sits. nhs Cg1ggggg 
941FF38 
FC11F 
gggggg1 | б 
00194E68 
à4|| ga192848 
gg41FFgB| | BE2BgF3E 
gd1FFgC| | ggggggigg 
Pd41FF 1| | ggg ロ ggg 
gd41FF14| | 7EFDEggg 
gg41FF 18| | gggggggg 
0041FF1C|| ggggggg 
gg41FF2| | gg41FFg8 
9641FF24| | 43260308 


1.73: OllyDbg: FCOMP が 実行 され る 


FPU 条 件 フラ グ の 状態 を 見 る こと が で きま す 。C6 を 除い て すべ て ゼロ で す 。 


FNSTSW が 実行 され ます 。 


OOFC1000 
ОВЕС1001 
ggFC19 ロ 3 
ggFC19g ロ 6 


ロロ FC1 ロ BB 
OOFC100E 
@ЙЕС1@1@ 
ggFC1g13 
ggFC191 


PUSH ЕВР ] 
FLD GUDBD PTR SS: CARG. 3] 

: АКВ. ee MSUCR1 00, 6E445617 
FCOMP GMORD PTR 55: CARG. 11 EDS 0022DCSS ^ 


vestiges (к 
E SHORT ggFC1g15 В 

ЕВР 0041FEDC 

FLD GMORD PTR SS:IRRG.11 ESI ggggggg1 


JMP SHORT ggFC1g18 
FLD GWORD PTR SS: CARG.S3] EDI ggFC3388 d_max.00FC3388 
POP EBP EIP @0FC100B d_max.GGFC196B 


32bit B(FFFFFFFF) 
32bit B(FFFFFFFF) 
Sabit @(FFFFFFFF) 
ggFC1g1D 

32bit YEFDDggg(FFF} 
КО i 32bit G(FFFFFFFF) 


ggFC1g1F 

LastErr 90990006 ERROR SUCCESS 
EFL 00000206 (NO,NB,NE,A,NS,PE,GE,G) 
ST@ empty 


83EC 88 SUB ESP,8 ŠT2 empti 
0005 ロ B2gFCgI FLO GWORD PTR DS:[gFC2gD8] ST3 empty 
001С24 FSTP GMORD PTR SS:LLOCRL.41 ST4 empty 
ES COFFFFFF |CALL ggFC1ggg STS empty 
83C4 98 ADD ESP, S ST6 empty 8. 


ST? empty -4.0000000000000000000 
3210 ES 


FST 8100 Cond баве і Err ü B 
ЕСШ @27F Prec NEAR,S3 Mask 
Last cmnd 0023: 66FC1606 d ман. 90! 


964 1FEDC El ee ae oe ee H 
ШЕ 0041FEES| LƏBFC196E RETURN from d_max 
| ЕЕ 
. B tix に ココ 
gg41FEEC| | gagggggg 
8 HCY he gg41FEFg| | Cg1ggggg 
gg41FEF4|| gg41FF38 
gg41FEF8|LggFC11FD 
ggggggg1 
gg194E68 
00192848 
gg41FFg8|| BE28gFSE 
gg41FFgC| | gggggggg 
gg41FF 1g| | gggggggg 
g941FF14|| 7EFDEggg 
gg41FF18| | gggggggg 
gg41FF 1C| | gggggggg 
gg41FF2g|| gg41FFg8 
gg41FF24| | 43260308 


< 


ONTE ГЕНИНЕ 


š 


оосо 


1.74: OllyDbg: FNSTSW が 実行 され る 


АХ レジ スタ が 0x100 で ある の が 見 えま す 。CO フラ グ は 8 番目 の ビッ ト で す 。 


TEST が 実行 され ます 。 


9gFC19gg PUSH ЕВР = гэ (ЕРИ. 
96FC1963 ME FLD GWDRD PTR 55: АВВ. 31 9gggg199 

С : Я ms " 
ggFC1996 FCOMP QUORD PTR SS:[RR6.11 нс АКАБА: 


FSTSU ЯХ : 
gggggg9 
ABE SHORT | gg41FEDC 


OOFC100E f EET: BS ЈРЕ T ggFC1g15 941FEDC 
ош E Оо 
ggFC1g15|| > > FLD QWORD PTR SS:[HRG.3] 96FC3388 4 ман. BAFC3388 
ggFC1g18|| > 50 POP ЕВР 99FC199E d mas.BBFCIODE 


ggFC1919 
р gg2B 32bit O(FFFFFFFF) 
99FC191B 9923 32bit 9(FFFFFFFF 
ggFC191 ビ 1 P” SS gg2E 32bit 9(FFFFFFFF} 
@GFC1G1D ; 8 gg2B 32bit Ə(FFFFFFFF) 
ggFC191E 8858 32bit EFDDggO(FFF} 
1 g92B 32bit g(FFFFFFFF) 


ggFC191F INS вр 
HOU EBP,ESP LastErr 90000090 ERROR SUCCESS 


ggFC192g 
GGFC1G21 
SUB ESP,8 88800202 (NO,NB,NE,A,NS, PO, GE, G) 
FLD QWORD PTR DS:[gFC2gEg] empty 
FSTP QWORD PTR 55: LLOCRL.21 STI conte 
SUB ESP,8 SB 
FLO GMOR PTR DS:LgFC2gDB] en 
FSTP GMORD PTR SS:LLOCRL.41 H 


CALL aarciaaa empty 
ADD ESP,8 empty 


— bel 4 empty B. 
Jump is not empty -4. Wo EN ITTY 


32 a ESPU 
Dest=d man OBFCIBIS ST 0100 сопа 5 à Ü Т кера 08 
1 


$ 


ssessssss 


827F Prec NEAR, 53 Mask 1 
8023: 9gFC1gg6 d_max.GOFC1006 


8 si-s 66 
0041FEEC|| йййййййй 
Н+ ПМЕ Ga41FEFG|| Cg1ggggg 
gg41FEF4|| gg41FF38| 8 
gg41FEFB| LagFC11FD 
41FEFC|T gggggg1 
00194E68 
98192548 
BS280F3E 
ggg 
gggggggg 
?EFDEggg 
gggggggg 
ggg 
0041FF08 
4326030 


5] 1.75: OllyDbg: TEST が 実行 され る 


PF フラ グ が クリ ア さ れ ま す 。 実際 、 
0x100 に セッ ト さ れる ビッ ト の 数 は 1 で 、1 は 奇数 で す 。jPE は スキ ッ プ さ れ ま す 。 
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JPE は 実行 され ず 、FLD は a (5.6) の 値 を ST(9) に ロー ド し ます 。 


CPU - main thread, module d max 


PUSH ЕВР 

MOU EBP,ESP 

FLO QWORD PTR SS:LRRG.31 
FCOMP GWORD PTR 55: LHRG. 11 


TEST A oS 

А 41FEDC 
JPE SHORT ggFC1g15 ⁄ : 
FLD QUORD PTR 55: АКВ. 17 ED 
JMP SHORT 


FLD QWORD PTR SS:LRRG.31 BOF CESSES dm 
POP EBP EIP QQFC1013 d ma 
RETN Sø 

INT3 
IN 
IN 
IH 
IN 


IN 

PUSH ЕВР 

MOU EBP,ESP 

SUB ESP,8 

FLD QWORD PTR 05: [FC2gEg] 
FSTP QWORD PTR SS:CLOCAL.2] 
SUB ESP,8 

FLD QWORD PTR 05: (@FC26031 
FSTP QWORD PTR SS:CLOCAL.4] 
CALL aarciaaa 

ADD _ESP,8 


ооо 


Sac 


: B(FFFFFFFF) 
99 ERROR SUCCESS 


)O- (mv D 070 
› e 


$ 


Prec HEHR,53 М 
0023:00FC1010 d 
——= 
66 ØA па 0 
FF FF FF 
FE FF FF FF 01 ge gg| 8 8 ебі: 
oi 28 1° 4 H+ ANS 


RETURN from d mas 


E] 1.76: OllyDbg: 次 の FLD が 実行 され る 


関数 が 終了 し ます 。 


最適 化 MSVC 2010 


Listing 1.208: 最適 化 MSVC 2010 


_а$ = 8 ; size = 8 
_b$ = 16 ; size = 8 
_d max PROC 
fld QWORD РТА b$[esp-4] 
fld QWORD PTR a$[esp-4] 


; 現在 の スタ ッ ク 状 態 : ST(O) = a, ST(1) = b 


fcom ST(1) : compare a and ST(1) = (_b) 
fnstsw ax 

test ah, 65 ; 00000041H 

jne SHORT $LN5Gd max 
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; ST(0) を ST(1) に コピ ー し レジ スタ を ポッ プ 
; (a) Ко, に 残す 
fstp ST(1) 


; 現在 の スタ ッ ク 状 態 : ST(0) = a 


ret 0 
$LN5@d_max: 
; ST(0) を ST(0) に コピ ー し レジ スタ を ポッ プ 
; ( b) аш に 残す 


fstp ST(0) 
; 現在 の スタ ッ ク 状 態 : ST(O) = b 
ret 0 


_d max ENDP 


FCOM は 、 単 に 値 を 比較 し 、FPU ス タッ ク を 変更 し な いと いう 点 で 、FCOMP と は 異な り ま 
ў. 前 の 例 と は 異な り 、 こ こ で は オペ ラン ド は 逆順 に な っ て いま す 。 その た め 、C3/C2/CQ 
の 比較 結果 は 異な り ま す 。 


・ この 例 で 。>5 OWA, C3/C2/CO ビッ ト は 0,0,0 と し て 設定 され ます 。 
° b>a の 場合 、 ビ ッ ト は 0,0,1 で す 。 
・qa=b の 場合 、 ビ ッ ト は 1,0,0 で す 。 


test ah, 65 命令 は 、2 ビ ッ ト の C3 と CO だ け を 残し ます 。a> ゥ の 場合 は 両方 と も ゼロ 
に な り ま す 。 そ の 場合 、JNE ジャ ンプ は 実行 され ませ ん 。 次 に 、FSTP ST(1) が 続き ます 。 
この 命令 は 、ST(0) の 値 を オペ ラン ド に コピ ー し 、FPU ス タッ ク か ら 1 つ の 値 を ポッ プ し 
ます 。 言い 換え れ ば 、 命 令 は ST(9) (ここ で は a の 値 ) が ST(1) に コピ ー さ れ ま す 。 
その 後 、 a の 2 つの コピ ー が スタ ッ ク の 一 番 上 に あり ます 。 次 に 、1 つ の 値 が ポッ プ さ れ ま 
す 。 その 後 、ST (0) に は a が 含ま れ 、 機 能 は 終了 し ます 。 


条件 ジャ ンプ INE は 、 ヵ > 。 また は a = b の 2 つの 場合 に 実行 され ます 。ST(0) は ST(0) 
に コピ ー さ れ 、 ア イド ル (NOP) 操作 と 同様 に 、1 つ の 値 が スタ ッ ク か ら ポ ッ プ され 、 ス タ 
ッ ク の 先頭 (ST(6) ) に は STOI 前 (つまり b) €. TOB, 関数 は 終了 し ます 。 こ 
の 命令 が ここ で 使用 され る 理由 は 、FPU に スタ ッ ク か ら 値 を ポッ プ し て 破棄 する た め の 他 
の 命令 が な いた めで す 。 
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最初 の OllyDbg の 例 : a=1.2 と b=3.4 


FLD が 両方 と も 実行 


004424 0С 


され ます 。 


FLD QWORD PTR SS:[HRG.3] 


CPU - main thread, module d_max 10| хі 
= ~ 


004424 04 
080 


83EC 10 
DDSC24 09 
DDO! 


DD1C24 
ES C4FFFFFF 
8635 

DDSC24 98 


š 


FLD QWORD PTR SS:LRRG.11 
FCOM ST(1) 


FSTSU AX 

TEST АН, 41 

JNZ SHORT 00R91014 
FSTP ST(1) 

RETN 

FSTP ST 

RETN 


5 
Е 
5 
5 


mono 


CC ИШЕ 
0005 EG2AA9AIFLD QWORD PTR 05: LBH92gEg] 
56 PUSH ESI 


SUB ESP,18 
FSTP QWORD PTR 55: [LUCHL .2] 


5 D220A9AÍ FLD QWORD PTR DS:L8R928D91 


FSTP QWORD PTR SS:CLOCAL.4] 

CALL 86A91600 

MOU ESI, DWORD PTR DS: (<&MSUCR16. printf 
FSTP QWORD PTR SS:CLOCAL.2] 


$T(1)=3.39999999999999991 16) 


ST=1. 1999999999999999568 


) 


1.77: OllyDbg: FLD が 両方 と も 実行 され 


ASCII "НІХ" 


d_max. 89993388 
d mas . 0991008 


t B(FFFFFFFF) 

; B(FFFFFFFF) 
g(FFFFFFFF ) 

t B(FFFFFFFF) 
vEFDDBaBtFFF) 
BCFFFFFFFF) 


99666066 ERROR SUCCESS 
(NO, NB, NE, A, NS, PO, GE, G) 


RETURN from d mas 


ASCII "px" 


$ 


FCOM が 実行 され ます 。OllyDbg は 便利 な こと に 、ST(6) と ST(1) の 内 容 を 表示 し ます 。 
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FCOM が 実行 され ます 。 


CPU - main thread, module d max 


FL TR = (ЕРИ) > 
ggH91994 FLD WORD PTR 55: САК = 
cenoioos |. D8D1 FCOM ST(1) кэе SEL Hie 
2100 C4 41 HH 41 99090090 
JNZ SHORT ggH91914 
9921FC6g 
TP ST(1) g921FCBB 


009910813 C3 8009009001 


00A91014 ST 
00991916 єз @6A93388 d_max 。BH93388 


90991017 00R9100R d_max.GGA9100A 


00991918 i 
32bit BtFFFFFFFF) 
99HS191H 32bit B(FFFFFFFF) 
00991016 32bit @(FFFFFFFF) 
0891810 Sbit ?EFhDgge(FF) 
90891610 32bit g(FFFFFFFF) 


ggH9191E ints 
FLO QWORD PTR DS:[gH92gEg] LastErr 00000000 ERROR SUCCESS 
PUSH_ESI 


ggH9191F 
ggH9192g 
9R9126 ggggg2g2 (NO, NB, NE, A, NS, PO, GE, G) 
9002192? SUB ESP, 10 
ggH9192H FSTP QWORD PTR 59: CLOCAL.2] valid 3:1222525995929999118 
ggH9192E FLO QUORD PTR DS: [9H92D8] ud 
80091834 FSTP GMORD PTR SS:LLOCRL.41 жосу 

CALL ggH919g9 е 

MOU ESI, OWORO PTR 09: [<&HSUCR100.printf 


00991937 
: empty 
FSTP QWORD PTR SS:LLOCRL.21 ... empty 


empty 


3100 
6027F 
Last cmnd 


aa2iFCeéoE 
BB21FCG4 
0021FC68 
s 
HIX hNX 0021FC74 
0021FC78 
0021FC7C 
981FCBg 
921FCB4 
21FCBB 
921FCBC 
@й21ЕСЭй 
921FC94 
921FC98 
@й21ЕСӘС 
gg21FCR 
921FCH4 
921FCH 


s 


1.78: OllyDbg: FCOM が 実行 され る 


CO が セッ ト さ れ 、 他 の 条件 フラ グ は すべ て クリ ア さ れ ま す 。 
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FNSTSW が 実行 され 、AX=0x3100 に な り ま す 。 


CPU - main thread, module d max 


"Rdministrator'' 
DETTO IT "HO 
| ロロ BBB 
00A91014 ай@йййййй 


5 83 JNZ SHOR 

921FC6g 
ggH91911 FSTP ST(1) 
g9H91913 C3 RETI g921FCBS 


gggg91 
APD 80893388 d_man. BAA93388 
ggH9199C d mas.80R9180C 


ES S2bit @(FFFFFFFF) 
32bit G(FFFFFFFF) 
S2bit G(FFFFFFFF) 
32bit BtFFFFFFFF) 
S2bit ?EFDDaGatFFF) 
32bit G(FFFFFFFF) 


CC INT3 
GGH3192g|F き DDoS Eg2GH3gWFLD QWORD PTR DS: [Ən920E01l LastErr 99999999 ERROR_SUCCESS 
56 PUSH ESI ggggg2g2 см0, NB, МЕ, A, NS, PO, GE, G) 


PUE EDAD EET valid 1.1999999999999999560 


FLD WORE PTR DSzLOR929D8] valid 3.39999999999999991 19 
FSTP QUORD PTR SS:[LOCHL.4] тор 
CALL OH91 ロ gg 

MOU ESI, DWORD PTR DS:[<&MSUCR100. printf 

FSTP_GMORD PTR SS:LLOCRL.21 


осоо 


ESPU 
овой 
11 
A91 


02 
ай 
11 
91008 


Last cmnd 


gg21FC64 
0021ЕС68 
8021FC6C 
8021FC70 
0021ЕС74 
0021ЕСӯ8 
8021FC7C 
8021FCS0 
8021FC84 
0021ЕС88 
8021FC8C 
8021FC90 
gg21FC94 
gg21FC98 
gg21FC9C 
gg21FCHB 


1.79: OllyDbg: FNSTSW が 実行 され る 
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TEST が 実行 され ます 。 


Б 1 Ly 
FLD. SSO RTR SS: CARG. 11 00583100 ASCII “Administrator” 
6Е494714 ASCII "H(X" 

ggH91GH @аййййййй 

9H919 ロ C 41 @@ййййййй 

ロロ H91 ロ ロ F a3 SHORT 00991014 akan 0021FC60 

ggH9191 1 gg21FCBB 

69931613 N ЕИ 

92991015 ST 00R93388 d_max.GGA93388 

Ban91017 BOR9188F d max.G8n9188F 

699391618 ES 32bit B(FFFFFFFF) 

cs 32bit B(FFFFFFFF) 

$s 32bit B(FFFFFFFF) 

DS 32bit B(FFFFFFFF) 
32bit ?EFDDggg(FFF) 

GS 32bit B(FFFFFFFF) 


LastErr gggggggg ERROR SUCCESS 
80000202 (NO,NB,NE,A,NS, FO, GE, G) 
SUB ESP, 18 i 

А | valid 1.1999999999999999560 
gg C E ЕЕЕ TEN valid 3.39999999999999991 1 
FSTP QWORD PTR $$:CLOCAL. 4] enoti gig 
CRLL ggH919gg токо 8:0 
MOU ESI,DUORD PTR DS: [<&MSUCR100.printf тела 
Е$ТР_ОШОЕП PTR $S:CLOCAL.2] . оку а-а 


— empty 8.8 


ооорою 


ggH9191E 
ggH91g1F 
00991920 
00991926 
90991927 
ggH919 ど HH 
ggH9192E 
00991934 
00991937 
80R9103C 


INT3 
FLO QWORD PTR DS:[0R920E01 
PUSH ESI 


mom om m m nm n on dm 


3218 PUO 

3188 Cond 8 8 à 1 666 

G27F Prec HERR,S3 Mask 111 
Last cmnd 00823:00R91008 d_mas .00A91008 
йй21ЕС6Й 2 E 
8621F C64) 33333333 
21FC68 
@621FC6C 
aaeiFc?a 
0021FC74 
8021FC78 
@621FC7C 
0021ЕС80 
9021ЕС84 
0021ЕС88 
0021ЕС8С 
@@й21ЕС9@ 
@@21ЕС94 
gg21FC98 
21FC9 ビ 
9621FCAG 
21FCH4 
@621FCA' 


5] 1.80: OllyDbg: TEST が 実行 され る 


ZF=0 の 場合 、 条 件 ジャ ンプ は 実行 され ます 。 
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FSTP ST (また は FSTP ST(0)) が 実行 され ます 。1.2 が スタ ッ ク か ら ポ ッ プ され 、3.4 が ス 
タッ ク の トッ プ に 残り ます 。 


Hd ре DD4424 BC |FLO QMORD PTR SS:LBRG.31 TE FPU 
2031004 004424 04 FLD OWORD PTR SS: CARG. 11 ESE Admin 
š FSTSW AX ed 0669000506 R: "нх" 


TEST AH, 41 200000 
JNZ SHORT ggH91914 
ESTP STUD 

< ロロ ロロ ロロ ロロ 1 
FSTP ST 09893388 d maw.B0n93388 
INTS 80091016 d ман. 90491916 


INTS à Boon genis n 
B B2B S2bit B(FFFFFFFF) 
E. 5 it B(FFFFFFFF) 
INTS 5 3 32bit g(FFFFFFFF) 
INS 3 32bit g(FFFFFFFF) 
ints S2bit ?EFDDggg(FFF} 
t A GS 92B 32bit g(FFFFFFFF) 


INTS 
CC INTS ac 
0005 Eg2gH9gW FLD QUORD PTR DS:LOR920E01 00000000 ERROR SUCCESS 
56 PUSH ESI (NO, NB, NE, A, NS, PO, GE, G) 


SSEC 18 SUB ESP, 10 
DDSC24 08 FSTP QWORD PTR_SS:CLOCAL.2] 
0005 HB2gH3gI FLO QWORD PTR DS:L8R928D81 © empty 
DD1C24 FSTP Кее PIR SS: LLOCRL. 41 empty 
ES C4FFFFFF | CALL 00R9100/ ST: 
МОУ ESI, DWORD PTR DS: SIR inet enpty B. 
DD5C24 08 FSTP WORD PTR SS:CLOCAL.2 ... empty O. 
Т? 1. 19999999 

321 
Cond 8 à à 
Prec NEAR, 53 3 
0023:00R91014 d 


mom om m om . . dn 


Gocooodg 


HIX hNX 09090091 


8) &@GA911ED л | RETURN from d mas 
aaeiFC?C| 88000001) © 
roS 005; mE NX |RSCII "рМ" 


ggggggg 

?EFDEggg 

ggggg 
gg 


д 8 

6F0794F9| ° 
F4 
629 


1.81: OllyDbg: FSTP が 実行 され る 


FSTP ST を 見 て み ま す 。 
命令 は 値 を 1 つ FPU ス タッ ク か ら ポ ッ プ する だ け の よう に 働き ます 。 
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次 の OllyDbg の 例 : a=5.6 と b=-4 


FLD が 両方 と も 実行 され ます 。 


CPU - main thread, module d max 


rs DD4424 OC |FLD GWORD PTR SS:LHRG.31 
aon91004|] ・ 24 94 | FLD QWORD PTR RI 
|- 0801 FCOM ST(1) 
ERES] FSTSW АХ 
99931900 TEST AH, 41 


ggH91g ロ F JN SHORT ggH91g14 
009919011 РӘ, ST(1) 


ST 


00991018 
90991819 


moon 


00991920 
90991026 
00891927 
8G6A9182A 
ロロ H9192E 
BBH91934 
00A91037 


CC INTS 

0005 EZgH3gW FLO QWORD PTR 05: (GA92GE6] 

56 PUSH ESI 

SSEC 18 SUB ESP,18 

DDSC24 a8 FSTP QWORD PTR SS:LtLOCRL.21 

0005 FLO QWORD PTR 05: С0яЭ20081 

DD1C24 FSTP QWORD БТЕ SS: LLOCRL.41 

ES C4FFFFFF | CALL anota 

MOU ESI, DWORD PTR OS: LX&MSUCR188.printf 


`... бм 


SB3E _НӘ2ӘНЭй! 
DDSC24 68 FSTP GMORD PTR 55: [LOCHL.2] 


27017224. 0600000906666666009 
STz5.5999999999999996440 


f 回 “FQ 


. 8 97 コート 
8 HIX NX 


[I 
6Е44 
ПОВЕ 
EBX 中 | 
ESP 0021 
EBP 0021 
ESI 6E44 
EDI йя: 


EIP ggR9 


OO-onmDpoOo 


Las 


EFL_00000246 


STS valid 
ST1 vali 


ST3 empt 
ST4 empt 
STS empt 
ST6 empt 
ST? empt 


FST 3188 


ЕСШ 2 ァ F 
Last cmn 


0021ЕС68 
@621FC6C 
@G21FC78 
0021FC74 
21FC78 
@621FC7C 
aaeircea 
9021 
@G21FCS! 
@621FC8C 
@G21FC98 
@@21ЕС94 
21FC98 
0021FC9C 
@@21FCAG 
@G21FCA4 
Be1FCHB 


0009 


561? MSUCR188.6E445617? 


DE78 
0000 
FC6g 
FCBS 


5584 MSUCR188.printf 


3388 d_man. ØØA' 


93388 


1008 d_man . BBH91 ロ 8 


5 gg2B 32bit g(FFFFFFFF) 


0023 32bit 9(FFFFFFFF) 
gg2B 32bit g(FFFFFFFF) 


> 2B 32bit @(FFFFFFFF) 


8853 32bit vEFDDBBBLFFF) 
Bü2B 32bit g(FFFFFFFF) 


tErr 96968686 ERROR SUCCESS 


y 
y 
y 
y 
3214 
Cond à à à 1 
Prec HEHR,53 


(HO, NB, E, BE, NS, PE, GE, LE) 


.5999999999999996440 
4. ロロ BBB ロロ 


Mask 


d 0023: ggH91994 9 тан. ПРАЗ 


6666) 
49166666 
BBB 
CB19 ロ ロロ 
0000009091 | G 


ZEFDE000 
ай@ййййй 
8000009009 
8021FC88 
6F0794F8 
9921FCF4 


1.82: OllyDbg: FLD が 両方 と も 実行 され る 


FLD が 実行 され ます 。 


RETURN from d mas 
ASCII "pNX" 
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FCOM が 実行 され ます 。 


CPU - main thread, module d max 


90991016 
00991017 
90991818 
009919 


1 
1 
1 
1 
1 


=IzL 上 ・ が リ 


ggH9191E 
ggH91g1F 
00991920 
00991926 
90991927 
ggH919 ど HH 
ggH919Z2E 
00A91034 
00A91037 
80R9103C 


eom om m m sar 


QWORD PTR SS: CAR 


TEST RH,41 
JNZ SHORT 88091814 
FSTP ST(1) 
RETN 
ST 


INT3 
FLD QWORD PTR DS:[0R920E01 
PUSH ESI 


SUB ESP,18 

FSTP QWORD PTR 55: [LUCHL .2] 

FLO QWORD PTR 05: [@R920D81 

FSTP QWORD PTR SS:CLOCAL.4] 

CALL 86A91006 

MOU ESI, DWORD PTR OS: (<&MSUCR1G6. printf 
FSTP ОШОКО PTR SS:CLOCAL.2] 


ers `L) 

8000600009 

6E445617 HSUCR100.6E445617 
aaaFDE?S 

BBB 

8021FC60 

@@21ЕСВ8 

6Е445584 HSUCR100.printf 
00A93388 d_max.@6A93383 


00R9100R d_max.GGA91G0A 


ES 32bit @(FFFFFFFF) 
cs 32bit @(FFFFFFFF) 
ss 32bit @(FFFFFFFF) 
DS 32bit @(FFFFFFFF) 
S2bit 7EFDDggg(FFF} 
65 32bit @(FFFFFFFF) 


LastErr 00000000 ERROR SUCCESS 
00000246 (NO,NB,E,BE,NS,PE,GE,LE) 


valid 5.5999999999999996440 
valid -4.00008000000000000000 


uo 
ай 

ロ Mask i i 
Last cmnd 0023:00R91008 d_max.G0A91008 


Ba2ziFCen 1069] RETU 
0021FC64 
gg21FC68 
gg21FC6C 
0021ЕС7а 
0021ЕС74 
8021FC78 
0021FC7C 
0021ЕС80 
0021ЕС84 
0021ЕС88 
0021FCSC 
Ba2iFcoa 
Ba2iFC94 
gg21FC98 
21FC9C 
gg21FCHg 
gg21FCH4 
gg21FCH 


1.83: OllyDbg: FCOM が 終了 する 


条件 フラ グ は すべ て クリ ア さ れ ま す 。 


FNSTSW が 完了 し 、AX=0x3000 に な り ま す 。 


CPU - main thread, module d_max 


таноо ре DD4424 OC |FLD GWORD PTR SS: CARG. 31 

9831954| | ・ DD4424 4 | FLO GUORD PTR SS: CARG. 13 

aonoinon|- ・ DFEg FSTSM AK Mee ee 

271i . F! 1 ト 

JNZ SHORT ggR91914 Кекше 

FSTP ST(1) EE 

RETM 6E445584 MSUCRIBB.printf 
99H93388 d max. 00893988 


00R9100C d mas.G8Rn9188C 


ES 32bit atFFFFFFFF) 
cs S2bit G(FFFFFFFF) 
SS 32bit G(FFFFFFFF) 
DS S2bit ØLFFFFFFFF) 
FS 32bit 7EFDDGGG(FFF) 
GS 32bit @(FFFFFFFF) 


LastErr 00000000 ERROR SUCCESS 
00000246 (NO,NB,E,BE,NS,PE,GE,LE) 


valid 5.5999999999999996440 
valid -4.0000000000000000000 


FSTP QUORD PTR SS: LLOCRL. 41 empty 0:0 
CALL ggH91ggg | npes 
MOU ESI, DWORD PTR DS: [<&MSUCR100.printf сео 

TP _OWORD PTR SS: [LOCRL.21 ss масы 


empty 
3000 


827F 
Last сипа 


00991920 
00991026 
00991927 
Baansia2n 
ggH91g2E 
00991934 
80R91037 


PE 


ggH9193 ビ 
90991942 


[CREE fo f 
008930810 | 
00893020 | . 8 :971— 
00A93030 | Ө H(% hNX 

00993040 | 
00A93050 
00893069 
00A93070 
0A923080 
0A923090 
aanssana 
BaanssaBa 
aanssaca 
aanssapDa 
BBH93gEB 
aanssara 
BBH931 ロ ロロ 
009931109 


1.84: OllyDbg: FNSTSW が 実行 され る 
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TEST が 実行 され ます 。 


004424 BC = FLD GWORD PTR SSiLHRG.31] gisters ( 

004424 84 |FLD GWORD PTR SS:CARG.1] CEO 

DSD1 FCOM ST(1) 6E445617 MSUCR180.6E445617 
HAAFDETS 

ай@айййай 

0021FC60 

21FCBB 

6E445584 MSUCRIOB.printf 
00893388 d_man.99H93388 


00R9100F d_max.GGA91G0F 


32bit @(FFFFFFFF) 
32bit @(FFFFFFFF) 
S2bit @(FFFFFFFF) 
32bit 9g(FFFFFFFF} 
S2bit 7EFOD@GG( FFF) 
32bit @(FFFFFFFF) 


Сас Eaeansal FLD QWORD PTR DS: Len92eE01 LastErr gggggggg ERROR SUCCESS 
56 PUSH ESI ggggg246 (NO,NB,E, BE, NS, PE, GE, LE) 
83EC 10 SUB ESP, 10 ' 

005624 98  |FSTP GMDRD PTR SS:[LOCRL.21 чаі14:5.6999999595995996140 

0085 FLD QUORD PTR DS 08920081 а а 
DD1C24 FSTP QUORD PTR 55: LLOCRL.41 empty 8. 
ES C4FFFFFF | CHLL 9H91999 enpey 
HOU ESI, DWORD PTR DS: [<&HSUCR100.printf 


ーー ビー ビビ ーー ビビ ビー 
DODDWONDA 


ggH919g1F 
0A991020 
00991926 
80R91027 
aanoia2n 
ggH91g2E 
00991934 
00A91037 


wo ж ж ж ж n] жш 


SB3S pazapa 
DDSC24 08 |FSTP GMORD PTR SS:CLOCAL.2] ‚эе empty 


empty 2. 
not taken empty 0. 

i 32180 ES 
Destzc ман.вовэте1 3000 Cond д 0 0 0 Err aoa 
@27F Prec HEHR。53 Mask 
Last omnd 0023:00R91008 d_max. GG 


Ti 
0021РС64|г66666666 
0021ЕС68 

0Й21ЕС6С 

8021FC70 

8021FC74 

aaeiFCr8 

8021FC7C 

8021FC80 

9021ЕС84 

gg21FCB8 

8021FCSC 

8021FC90 

8021FC94 

gg21FC38 

gg21FC9C 

gg21FCHB 


1.85: OllyDbg: TEST が 実行 され る 


ZF=1 の 場合 、 ジ ャ ンプ は 発生 し ませ ん 。 
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FSTP ST( 1) が 実行 され ます 。5.6 は FPDU ス タッ ク の トッ プ に あり ます 。 


main thread, module d = [D| x| 
- 


п0яэ1йвар= 004424 0С FLO QWORD PTR 55: САКБ. 37 Р 
・ 004424 84 FLO QWORD PTR SS:LRRG.11 
0801 FCOM ST(1) 


AH, 41 
JNZ SHORT ggH91g14 
FSTP ST(1) 


di 
^ 00991013 d mau.88n91813 
Bt FFFFFFFF) 
@( FFFFFFFF) 
Bt FFFFFFFF) 
g(FFFFFFFF ) 
?EFDDggg(FFF) 
g(FFFFFFFF) 


CC 

0005 EZBH3gW FLO QWORD PTR 05: [LBH92gEg] 
56 PUSH ESI 

SSEC 10 SUB ESP,18 

DDSC24 a8 FSTP QWORD PTR SS:tLOCRL.21 
0005 FLO QWORD PTR DS: [0R920D81 
DD1C24 FSTP QWORD PTR SS:CLOCAL.4] 
ED EEFEFFF CALL BBH91 ロ ロロ 


Hg2gH3g6 MOY ESI, DWORD PTR DS:[<%&HSUCR100.printf 
DDSC24_08 FSTP QWORD PTR SS:LLOCRL.21 


Top of stack [080821FC601=d_masx. 00A91069 


++ ж ж om э n Ag Fg 


A A 
FF FF FF FF FF FF FF FF 
FE FF FF FF 


RETURN from d mas 
ASCII "рМ" 


nter to nest Sly 


1.86: OllyDbg: FSTP が 実行 され る 


FSTP ST( 1 ) 命令 が 以下 の よう に 動作 する こと が わか り ま す 。 値 が スタ ッ ク の トッ プ の 残 
り 、ST(1) が クリ ア さ れる 。 


GCC 4.4.1 


Listing 1.209: GCC 4.4.1 


d max proc near 


b = qword ptr -10h 

a = qword ptr -8 

a_first_half = dword ptr 8 

a second half = dword ptr 0Сһ 

b first half = dword ptr 10h 

b second half = dword ptr 14h 
push ebp 


mov ebp, esp 
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sub esp, 10h 
; a と b を ロー カル スタ ッ ク に プッ シュ 

mov eax, [ebp+a first half] 
mov dword ptr [ebp+a], eax 
mov eax, [ebp+a second half] 
mov dword ptr [ebp+a+4], eax 
mov eax, [ebp+b first half] 
mov dword ptr [ebp+b], eax 
mov eax, [ebp+b second half] 
mov dword ptr [ebp+b+4], еах 


; a と b を FPU ス タッ ク に ロー ド 


fld [ebp+a] 
fld [ebp+b] 


; 現在 の スタ ッ ク 状 態 : ST(0) - b; ST(1) - a 


fxch st(1) ; this instruction swaps ST(1) and ST(0) 


; 現在 の スタ ッ ク 状 態 : ST(0) - a; ST(1) - b 


fucompp ; a と b を 比較 し スタ ッ ク か ら 2 値 を ポッ プ 。 例 :a and b 
fnstsw ax ; FPU ス テー タス を AX に 保存 
sahf ; AH か ら SF, ZF, АЕ, PF そし て CF フ ラグ の 状態 を ロー ド 
setnbe al ; CF=0 か つ ZF=9 の 場合 に AL に 1 を 保存 
test al, al ; AL==0 か 
jz short loc 8048453 : £ 
fld [ebp+a] 
jmp short tocret 8048456 
loc 8048453: 
fld [ebp+b] 
tocret 8048456: 
leave 
retn 
d max endp 


FUCOMPP は FCOM に 似 て いま す が 、 ス タッ ク か ら 両 方 の 値 を ポッ プ し 、「 非 数 値 」 を 異な 
る 方 法 で 処理 し ます 。 
「 非 数 値 」 に つい て 少々 。 


FPU は 、 数 字 で な い 特 別 な 非 数 値 や NaN を 扱う こと が で きま す 。 こ れ ら は 無限 大 で 、0 で 
除算 し た 結果 で す 。 非 数 値 は 「 宴 黙 」 で ある こと も 「 シ グ ナ ル を 発する 」 こ と も で きま す 。 
[BPR] NaN で 作業 を 続行 する こと は 可能 で す が 、「 シ グ ナ ル を 発する 」 NaN で 何ら か の 
操作 を 試み る 場合 は 例外 が 発生 し ます 。 


オペ ラン ド が NaN の 場合 、FCOM は 例外 を 送出 し ます 。FUCOM は 、 オ ペラ ンド が シグ ナル 
を 発する NaN (SNaN) で ある 場合 に の み 例 外 を 送出 し ます 。 


次 の 命令 は SAHF (4 リ 7 を フラ グ に スト ア ) G$, これ は FPU に 関連 し な い コ ー ド で は まれ 
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な 命令 で す 。AH か ら の 8 ビッ ト は 、 次 の 順序 で CPU フラ グ の 下位 8 ビッ ト に 移動 し ます 。 


2 


SFZF AF PF CF 


FNSTSW が 関心 の ある ビッ ト (C3/C2/CO) を AH に 移動 し 、 AH レジ スタ の 位置 6,2,.0 に あ 
る こと を 思い 出し て くだ さい 


6 2 1 0 


C3 C2C1CO 


言い 換え る と 、fnstsw ax / sahf 命令 ペア は 、C3/C2/C0 を ZF. РЕ. БАЕТ CF に 移 
動 し ます 。 


異な る 条件 で C3/C2/C0 の 値 を 思い 出し て み ま し ょ う 。 
・ この 例 で 。 が 5 より 大 きい 場合 、C3/C2/C0 は 0,0,0 に 設定 され ます 。 
*・g が ちよ り 小 さけ れ ば 、 ビ ッ ト は 0,0,1 に 設定 され ます 。 
・g=5 の 場合 は 、1,0.0 に 設定 され ます 。 


言い 換え れ ば 、 こ れ ら の CPU フラ グ の 状態 は 、3 つ の FUCOMPP/FNSTSW/SAHF 命令 の 後に 可 
能 に な り ま す 。 


° a>b の 場合 、CPU フ ラグ は 、ZF=0, РЕ=0, CF=0 と し て 設定 され ます 。 
° a<b の 場合 、 フ ラグ は 、ZF=0, PF=0, CF=1 と し て 設定 され ます 。 
e そし て 、g= ニ 5 な ら ば 、ZF=1, PF=0, CF=0 に な り ま す 。 


CPU の フラ グ と 条件 に 応じ て 、SETNBE は AL に 1 また は 0 を 格納 し ます 。 これ は ほぼ JNBE 
の も の で す が 、 SETccl!3 は AL に 1 また は 0 を 格納 し ます が 、Jcc は 実際 に ジャ ンプ する か 
どう か は 異な り ま す 。SETNBE は 、CF=9 お よび ZF=0 の 場合 に の み 1 を 格納 し ます 。 真 で 
な い 場 合 は 、0 が AL に 格納 され ます 。 


g> ち の 場合 で の み 、CF と ZF の 両方 が 0 に な り ま す 。 


その 後 、1 が AL に 格納 され 、 後 続 の JZ は 実行 され ず 、 関 数 は а を 返し ます 。 それ 以外 
の 場合 は b が 返さ れ ま す 。 


最適 化 GCC 4.4.1 


Listing 1.210: 最適 化 GCC 4.4.1 


public d max 


d max proc near 
arg_0 = qword ptr 8 
arg_8 = qword ptr 10h 
push ebp 
mov ebp, esp 
fld [ebp+arg 0] ; a 
fld [ebprarg 8] ; b 


115cc は 条件 コー ド で す 
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: 現在 の スタ ッ ク 状 態 : ST(0) = b, ST(1) = a 
fxch st(1) 


; 現在 の スタ ッ ク 状 態 : ST(9) = a, ST(1) = b 
fucom 51(1) : compare a and b 
fnstsw ax 
sahf 
ja short loc 8048448 


ST(0) I-ST(0) を 保存 (アイ ドル 処理 
‚ スタ ッ ク の トッ プ の 値 を ポッ プ 

; _b を トッ プ に 残す 

fstp st 

jmp short loc 804844A 


— 


loc 8048448: 
; aX*ST(1) に 保存 し 、 ス タッ ク の トッ プ の 値 を ポッ プ し 、 a を トッ プ に 残す 
fstp st(1) 


loc 804844A: 
pop ebp 
retn 

d max endp 


が SAHF の 後に 使用 され る こと を 除い て 、 ほ と ん ど 同 じ で す 。 実際 に は 、 符 号 な し の 番号 
比較 (これ ら は JA, JAE, JB, JBE, JE/JZ, JNA, JNAE, JNB, JNBE, JNE/JNZ ) の チェ ッ ク 
に 「 大 な り 」、「 小 な り 」、「 等 し い 」 を チェ ッ ク す る 条件 ジャ ンプ 命令 は CF お よび ZF フラ 
グ が 立っ て いる と きだ け チ ェ ッ ク し ます 。 

FSTSW/FNSTSW の 実行 後に 、C3/C2/C0 が AH レジ スタ の どこ に ある か を 思い 出し て み ま し 
よう 。 


6 2 1 0 


C3 C2C1C0 


SAHF の 実行 後に 、AH か ら の ビッ ト が CPU フラ グ の 中 に どの よう に し て 保存 され る か を 思 
い だ し て み ま し ょ う 。 


7 6 4 2 0 


SFZF| AF PF CF 


比較 の 後 、C3 お よび СО ビッ ト は ZF お よび CF に 移動 する の で 、 条 件 付き ジャ ンプ は そ 
の 後に 働き ます 。CF と ZF が と も に ゼロ で ある 場合 、 は 実行 し ます 。 


し た が っ て 、 こ こ に リス ト さ れ て いる 条件 付き ジャ ンプ 命令 は 、FNSTSw/SAHF 命令 ペア の 
後に 使用 で きま す 。 


どう や ら FPU C3/C2/CO ステ ー タ スピ ビット は 、 追 加 の 順列 を 付け ず に CPU の 基本 フラ グ に 
簡単 に マッ ピン グ で きる よう 、 意 図 的 に 配置 され て いま す 。 


GCC 4.8.1 with -03 optimization turned on 


Ui + ON P= 


OND 
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いく つか の 新しい FPU 命 令 が P6 イ ン テ ル ファ ミリ 1+1? に 追加 され まし た 。 これら は FUCOMI 
(メイ ン CPU の オペ ラン ド と フラ グ の 比較 ) と FCMOVcc (FPO レ ジス タ 上 の CMOVcc の よ 
うに 機能 し ます ) で す 。 


どう や ら 、GCC の メン テ ナ は 、P6 以 前 の イン テル CPU (初期 の Pentium、80486 な ど ) の 
サポ ー ト を 中 止 す る こと に 決め まし た 。 


また 、FPU は P6 イ ン テ ル ファ ミリ で は も は や 別個 の ユニ ッ ト で は な く な っ た の で 、FPU か 
ら メ イン CPU の フラ グ を 変更 / チ ェ ッ ク す る こと が 可能 に な り ま し た 。 


つま り 私 た ち が 得 る も の は 次 の と お り で す 。 
Listing 1.211: 最適 化 GCC 4.8.1 


ftd QWORD PTR [esp+4] ; load "a" 
fld QWORD PTR [esp+12] ; load "b" 
; STO-b, ST1=a 

fxch st(1) 

; STO-a, ST1=b 

; "a" と "b" を 比較 

fucomi st, 51(1) 

; a<=b な ら 、ST1 (ここ で は "b") を ST9 に コピ ー 

; "a" を ST6 に 残す 

fcmovbe st, st(1) 


; ST1 の 値 を 破棄 する 
fstp st(1) 
ret 


FXCH (スワ ッ プ オペ ラン ド ) が どう し て ここ に ある の か を 推測 する の は 難し いで す 。 


最初 の 2 つの FLD 命令 を 交換 する か 、FCMOVBE (below or equal) を FCMOVA (above) 
に 置き 換え る こと で 、 簡 単に 取り 除く こと が で きま す 。 お そら く 、 そ れ は コン パイ ラ が 不 
正確 な た めで す 。 

その た め 、FUCOMI は ST(6) (a) と ST(1) (b) を 比較 し 、 メ イン CPU に いく つか の フ 
ラグ を 設定 し ます 。FCMOVBE は フラ グ を チェ ッ ク し 、5870() <= ST1(b) な ら ST(1) (c 
こ で は 1 ヵ ) を ST(0) (ここ で は 。 ) に コピ ー し ます 。 そ う で な けれ ば (a>b). ST(0) に 
g を 残し ます 。 

最後 の FSTP は 、ST( 1) の 内 容 を 破棄 し て スタ ッ ク の 上 に ST(0) を 残し ます 。 


GDB で この 関数 を トレ ー ス し まし ょ う : 
Listing 1.212: 最適 化 GCC 4.8.1 and GDB 


dennis@ubuntuvm:~/polygon$ gcc -03 d max.c -o d max -fno-inline 
dennis@ubuntuvm:~/polygon$ gdb d max 
GNU gdb (GDB) 7.6.1-ubuntu 


Reading symbols from /home/dennis/polygon/d max...(no debugging symbols 7 
s found)...done. 

(gdb) b d max 

Breakpoint 1 at 0x80484a0 

(gdb) run 


116pentium Pro、Pentium-IIl な ど に 始ま る 
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Starting program: /home/dennis/polygon/d max 


Breakpoint 1, 0x080484a0 in d max () 

(gdb) ni 

0x080484a4 in d max () 

(gdb) disas $eip 

Dump of assembler code for function d max: 


0x080484a0 «40»: ftdt 0х4(%еѕр) 

=> 0х080484а4 <+4>: fidi Oxc(%esp) 
0x080484a8 <+8>: fxch %st(1) 
0x080484aa <+10>: fucomi %st(1),%st 
0x080484ac <+12>: fcmovbe %st(1),%st 
0x080484ae <+14>: fstp %st(1) 
0x080484b0 <+16>: ret 

End of assembler dump. 

(gdb) ni 


0x080484a8 in d max () 
(gdb) info float 
R7: Valid  0x3fff9999999999999800 +1.199999999999999956 
=>R6: Valid Ox4000d999999999999800 +3.399999999999999911 
R5: Empty 0x00000000000000000000 
R4: Empty 0x00000000000000000000 
АЗ: Empty 0x00000000000000000000 
R2: Empty 0x00000000000000000000 
R1: Empty — 0x00000000000000000000 
RO: Empty — 0x00000000000000000000 


Status Word: 0x3000 
TOP: 6 
Control Word: 0x037f IM DM ZM OM UM PM 


PC: Extended Precision (64-bits) 
RC: Round to nearest 


Tag Word: OxOfff 
Instruction Pointer: 0x73:0x080484a4 
Operand Pointer: Ox7b: Oxbffff118 
Opcode: 0x0000 

(gdb) ni 


0x080484aa in d max () 
(gdb) info float 
R7: Valid | 0x4000d999999999999800 +3.399999999999999911 
=>R6: Valid | 0x3fff9999999999999800 +1.199999999999999956 
R5: Empty 0х00000000000000000000 
R4: Empty 0x00000000000000000000 
АЗ: Empty 30x00000000000000000000 
R2: Empty 0х00000000000000000000 
R1: Empty 0x00000000000000000000 
RO: Empty — 0x00000000000000000000 


Status Word: 0x3000 
TOP: 6 
Control Word: 0x037f IM DM ZM OM UM PM 


PC: Extended Precision (64-bits) 
RC: Round to nearest 
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Tag Word: OxOfff 
Instruction Pointer: 0x73:0x080484a8 
Operand Pointer: Ox7b: Oxbffff118 
Opcode: 0x0000 


(gdb) disas $eip 
Dump of assembler code for function d max: 


0x080484a0 «40»: ftdt 0х4(%еѕр) 
0х080484а4 <+4>: ftdt Oxc(%esp) 
0x080484a8 <+8>: fxch %st(1) 

=> 0x080484aa <+10>: fucomi %st(1),%st 
0x080484ac <+12>: fcmovbe %st(1),%st 
0x080484ae <+14>: fstp %st(1) 
0x080484b0 <+16>: ret 

End of assembler dump. 

(gdb) ni 


0x080484ac in d max () 
(gdb) info registers 


eax 0х1 1 

есх Oxbffff1c4 -1073745468 
edx 0x8048340 134513472 
ebx Oxb7fbf000 - 1208225792 
esp Oxbffff10c Oxbffff10c 
ebp Oxbffff128 Oxbffff128 
esi 0x0 0 

edi 0x0 0 

eip 0x80484ac 0x80484ac «d max+12> 
eflags 0x203 [ CF IF ] 

CS 0x73 115 

SS 0x7b 123 

ds 0x7b 123 

es 0x7b 123 

fs 0х0 0 

05 0x33 51 

(gdb) ni 


0x080484ae in d max () 
(gdb) info float 


R7: Valid 0х40000999999999999800 +3.399999999999999911 
=>R6: Valid | 0x40004d999999999999800 +3.399999999999999911 


R5: Empty | 0x00000000000000000000 
R4: Empty — 0x00000000000000000000 
АЗ: Empty | 0x00000000000000000000 
R2: Empty 0х00000000000000000000 
R1: Empty 0х00000000000000000000 
RO: Empty | 0x00000000000000000000 


Status Word: 0x3000 
TOP: 6 
Control Word: 0x037f IM DM ZM OM UM PM 


PC: Extended Precision (64-bits) 
RC: Round to nearest 

Tag Word: OxOfff 

Instruction Pointer: 0x73:0x080484ac 

Operand Pointer: Ox7b:Oxbffffl118 


115 
116 
117 
118 
119 
120 
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122 
123 
124 
125 
126 
127 
128 
129 
130 
131 
132 
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135 
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140 
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143 
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150 
151 
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Opcode: 0x0000 
(gdb) disas $eip 
Dump of assembler code for function d max: 


0x080484a0 «40»: ғат 0х4(%еѕр) 
0х080484а4 <+4>: fidi Oxc(%esp) 
0x080484a8 <+8>: fxch %st(1) 
0x080484aa <+10>: fucomi %st(1),%st 
0x080484ac <+12>: fcmovbe %st(1),%st 

=> 0x080484ae <+14>: fstp %st(1) 
0x080484b0 <+16>: ret 

End of assembler dump. 

(gdb) ni 


0x080484b0 in d max () 
(gdb) info float 
=>R7: Valid | 0x4000d999999999999800 +3 .399999999999999911 
R6: Empty — 0x4000d999999999999800 
R5: Empty 0x00000000000000000000 
R4: Empty — 0x00000000000000000000 
АЗ: Empty 0х00000000000000000000 
R2: Empty 0х00000000000000000000 
R1: Empty 0х00000000000000000000 
RO: Empty — 0x00000000000000000000 


Status Word: 0x3800 
TOP: 7 
Control Word: 0x037f IM DM ZM OM UM PM 


PC: Extended Precision (64-bits) 
RC: Round to nearest 


Tag Word: Ox3fff 
Instruction Pointer: 0x73:0x080484ae 
Operand Pointer: 0x7b: Oxbffff118 
Opcode: 0x0000 

(gdb) quit 


A debugging session is active. 
Inferior 1 [process 30194] will be killed. 


Quit anyway? (y or n) y 
dennis@ubuntuvm:~/polygon$ 


「ni」 を 使っ て 、 最 初 の FLD 命令 を 2 つ 実 行 し て み ま し ょ う 。 
FPU レ ジス タ を 確認 し て み ま し ょ う 。(33 行 目 ) 


以前 書い た よう に 、FPU レ ジス タ の セッ ト は スタ ッ ク で は な く 循 環 バ ッ フ ァ で す 。(1.19.5 
on page 275) そし て GDB は STx レジ スタ を 表示 し ませ ん が 、FPU レ ジス タ の 内 部 を 表示 
し ます 。 (Rx) (35 行 目 の ) 矢印 は 現在 の スタ ッ ク の トッ プ を 示し て いま す 。 


Status Wo/O(36-37 行 目 ) に TOP レジ スタ の 内 容 を 見 る こと が で きま す 。 今 は 6 で 、 ス タ 
ッ ク の トッ プ は 内 部 レジ スタ 6 を 示し て いま す 。 


a お よび 5 の 値 は FXCH が 実行 され る と 交換 され ます 。(54 行 目 ) 
FUCOMI は 実行 され ます 。 (83 行 目 ) フラ グ を 見 て み ま し ょ う : CF が セッ ト さ れ ま す 。 (9577 
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目 ) 
FCMOVBE は 5 の 値 を コピ ー し ます 。(104 行 目 ) 


FSTP は スタ ッ ク の トッ プ の 値 を 1 つ 残 し ます 。 (139478) TOP の 値 は 7 で 、FPU ス タッ ク の 
トッ プ は 内 部 レジ スタ 7 を 示し て いま す 。 


ARM 
最適 化 Xcode 4.6.3 (LLVM) (ARM モ ー ド ) 


Listing 1.213: 最適 化 Xcode 4.6.3 (LLVM) (ARM モ ー ド ) 


VMOV 016, R2, R3 : b 

VMOV D17, RO, R1; a 

VCMPE. F64 D17, D16 

VMRS APSR_nzcv, FPSCR 

VMOVGT . F64 D16, D17 ; a" を D16 に コピ ー 
VMOV RO, R1, D16 

BX LR 


非常 に 単純 な ケー ス で す 。 入力 値 は D17 お よび D16 レジ スタ に 格納 され 、 次 に VCMPE 
命令 を 使用 し て 比較 され ます 。 

コ プ ロ セッ サ 固 有 の フラ グ を 格納 する 必要 が ある た め 、x86 コ プロ セッ サ と 同様 に 、ARM コ 
プロ セッ サ に は 独自 の ステ ー タ ス お よび フラ グレ ジス タ (FPSCR!’) が あり ます 。 ま た 、 
x86 と 同様 に 、ARM で は 条件 付き ジャ ンプ 命令 が な く 、 コ プロ セッ サ の ステ ー タ スレ ジス 
タ 内 の ビッ ト を チェ ッ ク で きま す 。 し た が っ て 、 コ プロ セッ サス テー タス ワー ド か ら の 4 ビ 
vh (N, Z, C, V) を 汎用 ステ ー タ スレ ジス タ (APSRH9) の ビッ ト に コピ ー す る VMRS が 
あり ます 。 

VMOVGT は D レ ジス タ 用 の MOVGT 命令 に 類似 の も の で 、 比 較 中 に 一 方 の オペ ラン ド が 他方 
の も の より 大 きい 場合 に 実行 され ます 。(GrーGryearer Than) 


実行 され る と 、( 現 在 D17 に 格納 され て いる ) 。 の 値 は D16 に 書き 込ま れ ま す 。 そ れ 以 外 
DIRAI, b の 値 は D16 レジ スタ に と どまり ます 。 


最後 か ら 2 番 目 の VMOV 命令 は 、D0 レ ジス タ 内 の 値 を RO お よび R1 レジ スタ 対 を 介し て 
戻す た め の 値 を 準備 し ます 。 


最適 化 Xcode 4.6.3 (LLVM) (Thumb-2 モ ー ド ) 


Listing 1.214: 最適 化 Xcode 4.6.3 (ПММ) (Thumb-2 モ ー ド ) 


VMOV D16, R2, R3 ; b 
VMOV D17, RO, R1 ; a 
VCMPE . F64 D17, D16 

VMRS APSR nzcv, FPSCR 
IT GT 

VMOVGT . F64 D16, D17 


117(ARM) Floating-Point Status and Control Register 
118(ARM) Application Program Status Register 
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VMOV RO, R1, D16 
BX LR 


前 の 例 と ほとん ど 同 じ で す が 、 少 し 異な り ま す 。 す で に わか っ て いる よう に 、ARM モ ー ド 
の 多く の 命令 は 条件 述語 で 補う こと が で きま す 。 し か し Thumb モ ー ド で は この よう な こ 
は あり ませ ん 。 条件 を 符号 化 で きる 4 ビッ ト 以 上 の 16 ビ ッ ト 命 令 に は スペ ー ス が あり ませ 
ん 。 


た だ し 、Thumb-2 は 、 古 い Thumb 命 令 に 対す る 述 部 を 指定 で きる よう に 拡張 され まし た 。 
ここ で は 、IDA で 生成 され た リス ト で は 、 前 の 例 の よう に VMOVGT 命令 が 表示 され ます 。 


実際 、 通 常 の VMOV は そこ に エン コー ド さ れ ま す が 、 そ の 直前 に IT GT 命令 が 置か れ て 
いる た め 、IDA は -GT 接尾 辞 を 追加 し ます 。 


T 命令 は 、 い わ ゆ る if-then ブロ ッ ク を 定義 し ます 。 


命令 の 後に 最大 4 つの 命令 を 配置 する こと が で き 、 そ れ ぞ れ に 述語 接尾 辞 が あり ます 。 こ 
E GT (Greater Than) 条件 が 真 で ある 場合 、IT GT は 次 の 命令 が 実行 され る こ 
意味 し ます 。 


EM Birds (iOS 向 け ) の より 複雑 な コー ド の 断片 は 次 の と お り で す 。 
Listing 1.215: Angry Birds Classic 


ITE NE 


VMOVNE R2, R3, D16 
VMOVEQ R2, R3, D17 


BLX _objc_msgSend ; not suffixed 


ITE は if-then-else を 表し 、 
次 の 2 つの 命令 の 接尾 辞 を エン コー ド し ます 。 


最初 の 命令 は 、 ITE で エン コー ド さ れ た 条件 (NE, not equal) が 真 で ある 場合 に 実行 され 、 
2 番目 の 場合 は 条件 が 真 で な い 場 合 に 実行 され ます 。(NE の 逆 条 件 は EQ (等 し い ) で す 。 


2 番目 の VMOV (また は VMOVEQ) が 通常 の も の で 、 接 尾 辞 (BLX ) で は な い 命 令 の 後に 
続き ます 。 


も う 1 つ は や や 難し く 、 こ れ も Angry Birds か ら で す 。 
Listing 1.216: Angry Birds Classic 


TTTTT EQ 


MOVEQ RO, R4 

ADDEQ SP, SP, #0x20 

POPEQ.W {R8,R10} 

POPEQ {R4-R7,PC} 

BLX _ Stack chk fail ; not suffixed 

命令 ニー モニ ッ ク 内 の 4 つの 「T」 記 号 は 、 条 件 が 真 で ある 場合 に 4 つの 後続 の 命令 が 実行 


А 
T 
され る こと を 意味 し ます 。 
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これ が IDA が それ ぞ れ に -EQ サフ ィ ッ クス を 追加 する 理由 で す 。 


た と えば 、TITEEE EQ (if-then-else-else-else) が あっ た 場合 、 接 尾 辞 は 次 の よう に 設定 
され ます 。 


-EQ 
-NE 
-NE 
-NE 


Angry Birds か ら 別 の 断片 で す 。 
Listing 1.217: Angry Birds Classic 


CMP.W RO, £OxFFFFFFFF 


ITTE LE 

SUBLE.W R10, RO, #1 

NEGLE RO, RO 

MOVGT R10, RO 

MOVS R6, #0 ; not suffixed 


CBZ RO, loc 1E7E32 ; not suffixed 


ITTE (if-then-then-else) は 、LE (Less or Equal) 条件 が 真 で あれ ば 第 1 お よび 第 2 の 命 
令 が 実行 され る こと を 意味 し 、 逆 条件 (GT 一 Greater Than) が 真 で あれ ば 第 3 の 命令 を 実 
行 す る こと を 意味 し ます 。 


コン パイ ラ は 通常 、 可 能 な 組み 合わ せ の すべ て を 生成 し ませ ん 。 


た と えば 、 前 述 の Angry Birds ゲ ー ム (ijOS の クラ シッ ク バ ー ジ ョ ン ) で は 、TT 命令 の 変種 
CHS, ITE, ITT. ITTE, ITTT. ITTTT の み が 使用 され ます 。 こ れ ら を を 学ぶ の は ど 
うし た らい いで し ょ うか ?IDA で は リス ト フ ァイル を 作成 する こと が で きる た め 、 各 オペ 
コー ド に 4 バイ ト を 表示 する オプ ショ ン で 作成 され まし た 。 次 に 、16 ビ ッ ト の オペ コー ド 
の 大 部 分 (IT は OxBF) を 知っ て いる の で 、grep を 使っ て 次 の こと を 行い ます 。 


cat AngryBirdsClassic.lst | grep " BF" | grep "IT" > results.lst 


と ころ で 、ARM ア セン ブリ 言語 で Thumb-2 モ ー ド を 手動 で プロ グラ ム し 、 条 件 付き サフ ィ 
ックス を 追加 する と 、 ア セン ブラ は 必要 な 場所 に 必要 な フラ グ を 自動 的 に IT 命令 に 追加 
し ます 。 


非 最適 化 Xcode 4.6.3 (LLVM) (ARM モ ー ド ) 


Listing 1.218: 非 最適 化 Xcode 4.6.3 (ПММ) (ARM モ ー ド ) 


b = -0x20 
a = -0x18 
val to return = -0x10 
saved R7 = -4 
STR R7, [SP,#saved R7]! 


MOV R7, SP 
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toc 2E68 


loc 2E10 


SUB SP, SP, #0x1C 

BIC SP, SP, #7 

VMOV D16, R2, R3 

VMOV D17, RO, R1 

VSTR D17, [SP,#0x20+a] 

VSTR D16, [SP,#0x20+b] 

VLDR D16, [SP,#0x20+a] 

VLDR D17, [SP,#0x20+b] 

VCMPE.F64 D16, D17 

VMRS APSR nzcv, FPSCR 

BLE loc 2Е08 

VLDR D16, [SP,#0x20+a] 

VSTR D16, [SP,#9x20+vat to return] 
B loc 2E10 

VLDR D16, [SP,#0x20+b] 

VSTR D16, [SP,#9x20+vat to return] 
VLDR D16, [SP,#9x20+vat to return] 
VMOV RO, R1, 016 

MOV SP, R7 

LDR R7, [SP+0x20+b] ,#4 

BX LR 


既に 見 た の と ほぼ 同じ で す が 、。 と 〉 ヵ の 変数 が ロー カル スタ ッ ク に 格納 され 、 戻 り 値 も 格 
納 さ れる た め 、 冗 長 コ ー ド が と て も 多く な っ て いま す 。 


最適 化 Keil 6/2013 (Thumb モ ー ド ) 


Listing 1.219: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


loc 1CO 


PUSH {R3-R7,LR} 

MOVS R4, R2 

MOVS R5, R3 

MOVS R6, RO 

MOVS R7, R1 

BL . aeabi cdrcmple 
BCS loc 1C0 


MOVS R1, R7 
POP {R3-R7, PC} 


MOVS RO, R4 
MOVS R1, R5 
POP {R3-R7, PC} 


ター ゲッ ト CPU で サポ ー ト され る か に 依存 で きず 、 ま た 、 簡 単 な ビ ッ ト 単 位 の 比較 で は 実 
行 で き な い た め 、Keil は FPU 命 令 を 生成 し ませ ん 。 し た が っ て 、 外 部 ライ ブラ リ 関 数 を 呼び 
出し て 比較 を 行い ます : aeabi cdrcmple 
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注意 : 比較 の 結果 は この 関数 に よっ て フラ グ に 残さ れ ま す 。 し た が っ て 、 次 の BCS (Carry 
set—Greater than or equal) 命令 は 追加 コー ド な し で 動作 し ます 。 


ARM64 
最適 化 GCC (Linaro) 4.9 


d max: 
; DO - a, Dl - b 

fcmpe 0, dl 

fcset 40, dO, dl, gt 
; 結果 が DO に ある 

ret 


ARM64 ISA に は 、 便宜 上 、 FPSCR の 代わ り に CPU フ ラグ を APSR に 設定 する FPU 命 令 が あり 
ます 。FPU は も は や 別個 の デバ イス で は あり ませ ん 。 (少な く と も 論理 的 に は ) ここ で は 
FCMPE を 参照 し て くだ さい 。D6 と D1 (関数 の 第 1 引数 と 第 2 引数 ) で 渡さ れ た 2 つの 値 を 
比較 し 、APSR フ ラグ (№, 2, C, V) を 設定 し ます 。 


FCSEL (Floating Conditional Select) は 、 条 件 (GT 一 Greater Than) に 応じ て DO また 
は 01 の 値 を D9 に コピ ー し 、 再 び FPSCR の 代わ り に APSR レ ジス タ の フラ グ を 使用 し ま 
す 。 


これ は 、 古 い CPU の 命令 セッ ト に 比べ て は る か に 便利 で す 。 


条件 が 真 (GT) OWA. DO の 値 が DD に コピ ー さ れ ま す 。( つ まり 何 も 起 こり ませ ん ) £ 
件 が 真 で な い 場 合 、D1 の 値 が DO に コピ ー さ れ ま す 。 


非 最 適 化 GCC (Linaro) 4.9 


d max: 

; "Register Save Area" に 入力 引数 を 保存 
sub sp, sp, #16 
str ЧӨ, [sp,8] 
str d1, [sp] 

; 値 を リロ ー ド 


ldr X1, [sp,8] 
ldr x0, [sp] 
fmov do, x1 
fmov d1, x0 


fcmpe 40, 41 
ble .L76 
; azb な ら 、D6 (а) を X0 に ロー ド 
tdr x0, [sp,8] 
b .L74 


.L76: 
; a<=b な ら D1 (b) を XO に ロー ド 
ldr x0, [sp] 


‚174: 
; 結果 が X0 に 
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| fmov 00, хө 

; 結果 が DO に 
add sp, sp, 16 
ret 


非 最適 化 GCC は より 冗長 で す 。 


まず 、 関 数 は 入力 引数 の 値 を ロー カル スタ ッ ク (Register Save Area) に 保存 し ます 。 次 
に 、 こ れ ら の 値 を レジ スタ D6/D1 に リロ ー ド し 、 最終 的 に X0/X1 に コピ ー し て FCMPE を 
使用 し て 比較 し ます 。 冗長 な コー ド が た くさ ん あり ます が 、 最 適 化 され て いな い コ ン パ イ 
ラ の 仕組 み で す 。FCMPE は 値 を 比較 し 、APSR フ ラグ を 設定 し ます 。 現時 点 で は 、 コ ン パ イ 
ラ は 、 よ り 便 利 な FCSEL 命令 に つい て は まだ 考え て いな いた め 、 古 い メ ソ ッ ド を 使用 し 
て 処理 を 進め ます 。 つ まり 、BLE 命令 を 使用 し ます (Branch if Less than or Equal). 最 
初 の ケー ス (а>) で は 、。 の 値 が Xo に ロー ド さ れ ま す 。 そ れ 以 外 の 場合 la<=b) bO 
値 は X0 に ロー ド さ れ ま す 。 最後 に 、 戻 り 値 が この レジ スタ に ある 必要 が ある た め 、X0 か 
ら の 値 が DO に コピ ー さ れ ま す 。 


練習 問題 


練習 と し て 、 冗長 な 命令 を 削除 し 、 新 し い 命令 (FCSEL を 含む ) を 導入 し な いで 手動 で こ 
の コー ド を 最適 化す る こと が で きま す 。 


最適 化 GCC (Linaro) 4.9 一 float 


double の 代わ り に float を 使う よう に この 例 を 書き 直し まし ょ う 。 


float f max (float a, float b) 


{ 
if (a>b) 
return a; 
return b; 
}; 
f max: 


;S0-a,S1-b 

fcmpe s0, s1 

fcsel 50, s0, sl, gt 
; 結果 が SO に ある 

ret 


これ は 同じ コー ド で す が 、D- レ ジス タ の 代わ り に S- レ ジス タ が 使用 され て いま す 。 これ は 、 
浮動 小数 点数 が 32 ビ ッ ト S レ ジス タ (実際 に は 64 ビ ッ ト D レ ジス タ の 下位 部 分 ) に 渡さ れ 
る た めで す 。 


MIPS 


MIPS プ ロ セ ッ サ の コ プ ロ セッ サ に は 条件 ビッ ト が あり 、 こ れ を FPU に セッ ト し て CPU で チ 
エック す る こと が で きま す 。 
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以前 の MIPS に は 1 つの 条件 ビッ ト (FCC0 と 呼び ます ) が あり 、 後 の モデ ル に は 8 つの ビッ 
h (FCC7-FCC0 と 呼び ます ) が あり ます 。 


この ビッ ト (また は 複数 の ビッ ト ) は FCCR と 呼ば れる レジ スタ に 配置 され て いま す 。 
Listing 1.220: 最適 化 GCC 4.4.5 (IDA) 


d max: 
; $f14«$f12 (b«a) な ら 、FPU 条 件 ビッ ト を 設定 
c.lt.d $f14, $f12 
or gat, $zero ; NOP 
; 条件 ビッ ト が セッ ト さ れ て いた ら 、tocret 14 に ジャ ンプ 
bc1t Locret 14 
の 命令 は 常に 実行 され ます (戻り 値 に "a" を 設定 ) 
mov.d $f0, $f12 ; branch delay slot 
この 命令 は 分 岐 が 実行 され な か っ た と きのみ 実行 され ます (例え ば b>=a の 場合 
; 戻り 値 に "b" を 設定 
mov.d $10, $fl4 


locret_14: 
jr $ra 
or $at, $zero ; 分 岐 遅 延 ス ロッ ト , NOP 


C.LT.D は 2 つの 値 を 比較 し ます 。LT は 「Less Than」 の 条件 で す 。D は double 型 の 値 を 
意味 し ます 。 比較 の 結果 に 応じ て 、FCC0 条 件 ビッ ト は セッ ト ま た は クリ ア さ れ ま す 。 


BC1T checks the FCCO bit and jumps if the bit is set. T means that the jump is to be 
taken if the bit is set ( [True] ). There is also the instruction BC1F which jumps if the 
bit is cleared ( [False] ). 


BC1T は FCCO ビ ッ ト を チェ ッ ク し 、 ビ ッ ト が セッ ト さ れ て いれ ば ジャ ンプ し ます 。T は 、 
ビッ ト が セッ ト (「True」) され て いる 場合 に ジャ ンプ が 行わ れる こと を 意味 し ます 。 ビッ 
ト が クリ ア さ れる と ジャ ンプ する BC1F 命令 も あり ます 。(「False」) 


ジャ ンプ に 応じ て 、 関 数 引数 の 1 つが $F0 に 配置 され ます 。 


第 1.19.8 節 いく つか の 定数 


IEEE 754 で エン コー ド さ れ た 数 の Wikipedia で いく つか の 定数 の 表現 を 見 つけ る の は 簡単 
Gd. IEEE 754 の 0.0 は 、32 ビ ッ ト の ゼロ ビッ ト ( 単 精度 の 場合 ) また は 64 ビ ッ ト の ゼロ 
Ey ( 倍 精度 の 場合 ) と し て 表 さ れる こと は 興味 深い こと で す 。 し た が っ て 、 浮 動 小 数 
点 変数 を レジ スタ また は メモ リ で 0.0 に 設定 する に は 、MOV また は XOR reg, reg 命令 

使用 し ます 。 こ れ は 、 さ ま ざ ま な デー タ 型 の 多く の 変数 が 存在 する 構造 に 適し て いま す 。 
通常 の memset() 関数 で は 、 す べ て の 整数 変数 を 0 に 、 す べ て の ブー ル 変 数 を ね /se に 、 す 
べ て の ポイ ンタ を NULL に 、 す べ て の 浮動 小数 点 変数 (任意 の 精度 ) を 0.0 に 設定 で きま す 。 


第 1.19.9 節 コピ ー 
IEEE 754 の 値 を ロー ド し て 格納 する (し た が っ て 、 コ ピー する ) に は 、FLD/FST 命令 を 使 


用 し な いと いけ な と 慣性 で に 考え る か も し れ ま せん 。 に も か か わら ず 、 普 通 の MOV 命令 で 
も 同じ こと が より 簡単 に 実現 で きま す 。 も ちろ ん 、 ビ ッ ト 単 位 で 値 を コピ ー し ます 。 
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第 1.19.10 節 スタ ッ ク 、 計 算 機 と 逆 ポ ー ラ ンド 記法 

いく つか の 古い 計算 機 が 逆 ポ ー ラ ンド 記法 を 使用 する 理由 を 理解 し まし た 。 

た と えば 、12 と 34 を 追加 する に は 12 を 入力 し 、34 を 入力 し て か ら 「 プ ラス 」 を 押し ます 。 
これ は 、 古 い 電 卓 は スタ ッ ク マ シン の 実装 な の で 、 複 雑 な カッ コ で 囲ま れ た 式 を 処理 する 


より は る か に 簡単 だ か ら で す 。 
第 1.19.11 節 80 ビ ッ ト ? 


FPU の 内 部 数 値 表 現 は 80 ビ ッ ト で す 。27? 形式 で は な い の で 、 変 わっ た 数 値 で す 。 お そら 
< 歴史 的 な 理由 に よる も の だ と いう 仮説 が あり ます 。IBM の 標準 的 な パン チカ ー ド で は 、 
12 行 の 80 ビ ッ ト を エン コー ド で きま す 。80.25 テキ スト モー ド の 解像度 も 過去 に お いて ポ 
ピュ ラー で し た 。 


ウィ キ ペ ディ ア に は 別 の 説明 が あり ます : https://en.wikipedia.org/wiki/Extended _ 
precision 


も っ と 知っ て いた ら 、 著 者 に メー ル を 送っ て くだ さい : my emails 
第 1.19.12 節 x64 


浮動 小数 点数 が x86-64 で どの よう に 処理 され る か に つい て は 、 こ れ を 読ん で くだ さい : 
1.29 on page 521 


第 1.19.13 節 練習 問題 
・ http://challenges.re/60 
* http://challenges.re/61 


第 1.20 節 配列 
уу 1° 配列 は 、 互 い に 隣 り 合 っ て 、 同 じ 型 を 持つ メモ リ 内 の 変数 の セッ ト で す 。19 


第 1.20.1 節 単純 な 例 


#include <stdio.h> 
int main() 


int a[20]; 
int i; 


for (i=0; i<20; i++) 
а[1]=1*2; 


119AKA [homogener Container] . 
120AKA 「homogeneous container] 


323 


for (i=0; i<20; i++) 
printf ("a[%d]=%dNn", i, a[il); 


return 0; 


}; 


x86 
MSVC 


コン パイ ル し て み ま し ょ う 。 


Listing 1.221: MSVC 2008 

_ TEXT SEGMENT 
_1$ = -84 ; Size = 4 
_а$ = -80 ; Size = 80 
_main PR0C 

push ebp 

mov ebp, esp 

sub esp, 84 ; 00000054H 

mov DWORD PTR i$[ebp], 0 

jmp SHORT $LN6@main 
$LN5@main: 

mov eax, DWORD PTR i$[ebp] 

add eax, 1 

mov DWORD PTR i$[ebp], eax 
$LN6@main: 

cmp DWORD PTR _i$[ebp], 20 ; 00000014H 

jge SHORT $LN4@main 

mov ecx, DWORD PTR i$[ebp] 

sht ecx, 1 

mov edx, DWORD PTR i$[ebp] 

mov DWORD PTR _a$[ebp+edx*4], ecx 

jmp SHORT $LN5@main 
$LN4@main: 

mov DWORD PTR i$[ebp], 0 

jmp SHORT $LN3@main 
$LN2@main: 

mov eax, DWORD PTR i$[ebp] 

add eax, 1 

mov DWORD PTR i$[ebp], eax 
$LN3@main: 

cmp DWORD PTR i$[ebp], 20 ; 00000014H 

jge SHORT $LN1Gmain 

mov ecx, DWORD PTR i$[ebp] 

mov edx, DWORD PTR _a$[ebpt+ecx*4] 

push edx 

mov eax, DWORD PTR i$[ebp] 

push eax 

push OFFSET $SG2463 

call printf 
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add esp, 12 ; 0000000cH 
jmp SHORT $LN2@main 
$LN1@main: 
xor eax, eax 
mov esp, ebp 
pop ebp 
ret 0 
_main ENDP 


特別 な こと は 何 も な く て 、2 つ の ルー プ だ け で す 。1 つ め は 配列 に 値 を 詰め る ルー プ で 2 つ 
め は 値 を 表示 する ルー プ で す 。sht ecx, 1 命令 は ECX の 値 を 2 倍 す る の に 使用 され ます 。 
詳細 は こち ら 1.18.2 on page 267 


80 バ イト は 4 バイ ト の 20 要 素 分 の 配列 用 と し て スタ ッ ク 上 に 確保 され ます 。 
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OllyDbg で この 例 を 試し て み ま し ょ う 。 
配列 が どの よう に 埋まる の か 見 て いき ます 。 
各 要 素 は 32 ビ ッ ト の int 型 で 値 は イン デック ス を 2 倍 し た も の で す 。 


HBPPPPP14 


0800000026 
90000013 
0800000009 
' 881SFEFO 
› ロロ 18FF44 
00000001 
0040338C simple 


EIP 8840182C 


BtFFFFFFFF) 
BLFFFFFFFF) 
е! ) 


> B(FFFFFFFF) 
?EFDDg9g(FFF} 
> B(FFFFFFFF) 


)O - (ri D00 


ооо он он ( 


r 


Err 


*4*EBP-501 
SS: [LOCAL. 


JWORD PTR 


211 


So ooo 


cc 


Imm 
еа L0013FEF01=00000014 (decimal 28.) 
Jump from 48181C 


LX шӯ e! well 


ос; 
iDa 


RETURN from s 


1.87: OllyDbg: 要素 を 埋め た 後 


この 配列 は スタ ッ ク に 位置 し て いる の で 、20 要 素 す べ て を 見 る こと が で きま す 。 


GCC 


GCC 4.4.1 で は この よう に な り ま す 。 
Listing 1.222: GCC 4.4.1 


public main 
main proc near ; DATA XREF: _start+17 
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var 70 = dword ptr -70h 
var 6C = dword ptr -6Ch 
var 68 = dword ptr -68h 
i2 = dword ptr -54h 
i - dword ptr -4 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 70h 
mov [esp+70h+i], 0 ; i-0 
jmp short loc 804840A 
loc 80483F7: 
mov eax, [esp+70h+i] 
mov edx, [esp+70h+i] 
add edx, edx ; edx=i*2 
mov [еѕр+еах*4+70һ+і 2], edx 
add [esp+70h+1] , 1 ; i++ 
loc 804840A: 
cmp [esp+70h+1] , 13h 
jte short loc 80483F7 
mov [esp+70h+i], 0 
jmp short loc 8048441 
loc 804841B: 
mov eax, [esp+70h+i] 
mov edx, [еѕр+еах*4+70һ+і 2] 
mov eax, offset aADD ; "a[%d]=%d\n" 
mov [esp+70h+var 68], edx 
mov edx, [esp+70h+1i ] 
mov [esp+70h+var_6C], edx 
mov [esp+70h+var 70], eax 
call _printf 
add [esp+70h+i], 1 
loc 8048441: 
cmp [esp+70h+i], 13h 
jle short toc 804841B 
mov eax, 0 
leave 
retn 
main endp 


な お 、 変 数 。 は іп 型 で す (int へ の ポイ ンタ ) 一 別 の 関数 に 配列 へ の ポイ ンタ を 渡す こ 
と が で きま す 。 し か し 、 も っ と 正確 に は 、 配 列 の 最初 の 要素 へ の ポイ ンタ が 渡さ れ ま す 。 
(要素 の 残り の アド レス は 明確 な や り 方 で 計算 され ます ) 

も し この ポイ ンタ を alid と し て イン デック ス す る な ら 、/jgx は ボイン タ に 加算 され る だ 
け で 、 配 置 さ れ て いる 要素 (計算 され た ポイ ンタ が 示さ れ て いる ) が リタ ー ン され ます 。 


面白 い 例 : string の よう な 文字 列 は (1) 文字 の 配列 で const char[] の 型 を 持ち ます 。 
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イン デック ス も この ポイ ンタ に 適用 され ます 。 

そし て これ が 「string」[1] の よう に 書き 込み が 可能 な 理由 で す 。 こ れ は C/C++ の 正 し 
い 表 現 で す ! 

ARM 

非 最適 化 Keil 6/2013 (ARM モ ー ド ) 


EXPORT _main 


_main 
STMFD SP!, {R4,LR} 
SUB SP, SP, #0x50 ; int 変 数 26 個 分 の 場所 を 確保 する 
: 最初 の ルー プ 
MOV R4, #0 b: 
B loc 4A0 
loc 494 
MOV RO, R4,LSL#1 ; RO=R4*2 
STR RO, [SP,R4,LSL#2]; RO に SP+R4<<2 (SP+R4*4 と 同様 ) を 保存 
ADD R4, R4, #1 ; i=i+1 
loc 4A0 
CMP R4, #20 ; i«20? 
BLT loc 494 ; 条件 を 満た す な ら 、 ル ー プ ボディ を 再度 実行 する 
: 2 番目 の ルー プ 
MOV R4, #0 Б 
B loc 4C4 
loc 4В0 
LDR R2, [SP,R4,LSL#2]; (printf の 第 二 引 数 ) R2=*(SP+R4<<4) 
(*(SP+R4*4) と 同様 ) 
MOV R1, R4 ; (printf の 第 一 引数 ) R1= ュ 
ADR RO, aADD ; "a[%d]=%d\n" 
BL _ 2printf 
ADD R4, R4, #1 ; i=i+1 
loc 4C4 
CMP R4, #20 ; i<20? 
BLT loc 4B6 ; 条件 を 満た す な ら 、 ル ー プ ボディ を 再度 実行 する 
MOV RO, #0 ; 戻り 値 
ADD SP, SP, #0x50 ; 確保 し て いた int 変 数 20 個 分 の チャ ンク を 開放 す 
る 


LDMFD SP!, {R4,PC} 


int 型 は 32 ビ ッ ト の スト レー ジ を 必要 と し ます (また は 4 バイ ト )。 


20 個 の int 変数 を 保存 する に は 80 バ イト (0x50) が 必要 で す 。 だ か ら 、SUB SP, SP, 
#0х50 の よう に な っ て いま す 。 


関数 プロ ロー グ の 命令 は スタ ッ ク に ちょ うど その 分 の 空間 を 確保 し て いま す 。 
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最初 と 次 の ルー プ の 両方 で 、 ル ー プ イテレータ il R4 レジ スタ に 置か れ て いま す 。 


配列 に 書か れる 数 は ?x 2 と し て 


計算 され ます 。 こ れ は 1 ビッ ト 左 シフ ト す る こと と 同じ で 、 


MOV RO, R4,LSL#1 命令 が これ を し て いま す 。 


STR RO, 


[SP,R4,LSL#2] は RO の 内 容 を 配列 に 書き 込ん で いま す 。 


配列 の 要素 へ の ポイ ンタ が どの よう に 計算 され る か を 示し て いま す 。SP! は 配列 の 先頭 を 
示し て いま す 。R4 は ? で す 。 


i を 2 ビッ ト 左 シフ ト す る と 、4 倍 する こと に 等 し いで す 。 


( 各 配 列 の 要素 は 4 バイ ト で す ) 


そし て 配列 の 先頭 アド レス に 追加 され ます 。 


次 の ルー プ は LDR R2, 


[SP,RA,LSL42] 命令 の 逆 で す 。 配列 か ら 必要 と する 値 を ロー ド 


し 、 ポ イン タ も また 同様 に 計算 され ます 。 


最適 化 Keil 6/2013 (Thumb モ ー ド ) 


_main 
PUSH 


{R4,R5,LR} 


; 1nt 変 数 26 個 分 +1 変 数 の 場所 を 確保 する 


SUB 


: 最初 の ルー プ 
MOVS 
MOV 


loc 1CE 
LSLS 
LSLS 
ADDS 
CMP 


MOVS 


SP, SP, #0x54 


RO, #0 $ 
R5, SP ; 


R1, RO, #1 : 
R2, RO, 42 ; 
RO, RO, #1 : 
RO, #20 ; 
R1, [R5,R2] ; 
loc 1CE ; 


R4, #0 j 


RO, R4, #2 ; 
R2, [R5,R0] ; 
R1, R4 

RO, aADD ; 


loc 1DC ; 
RO, #0 ; 


i 
配列 要素 の 先頭 へ の ポイ ンタ 


; В1=1<<1 (1*2 と 同様 ) 
; R2=1<<2 (1*4 と 同様 ) 
; 1=1+1 


i<20? 


; R1 を *(R5+R2 ) に 保存 (R5+1i*4 と 同じ ) 
: 条件 を 満た す な ら 、 ル ー プ ボディ を 再度 実行 する 


i=0 


R0=1<<2 (1*4 と 同様 ) 
*(R5+R0) か ら ロ ー ド (R5+1i*4 と 同様 ) 


"а[%а | =%а\п" 


; 1=1+1 
; 1<20? 


条件 を 満た す な ら 、 ル ー プ ボディ を 再度 実行 する 
戻り 値 


; 確保 し て いた int 変 数 20 個 +1 分 の チャ ンク を 開放 する 


ADD 
POP 


SP, SP, #0x54 
{R4,R5, PC} 


Thumb コ ー ド も 大 変 似 て いま す 。 
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Thumb コ ー ド は ビッ トシ フト 用 の 特別 な 命令 を 持っ て いま す (1515 の よう な )。 こ れ は 配 
列 に 書き 込ま れる 値 を 計算 し 、 ま た 配列 の 各 要 素 の アド レス も 同様 に 計算 し ます 。 


コン パイ ラ は も う 少 し 余分 な 空間 を ロー カル スタ ッ ク に 確保 し ます 。 し か し 、 最 後 の 4 バ 
イト は 使用 され ませ ん 。 


非 最 適 化 GCC 4.9.1 (ARM64) 


Listing 1.223: 非 最 適 化 GCC 4.9.1 (ARM64) 


.LCO: 
.string "a[%d]=%dNn" 
main: 
: スタ ッ ク フ レー ム に FP と LR を 保存 
stp x29, x30, [sp, -112]! 
: スタ ッ ク フ レー ム を 設定 (FP=SP) 
add x29, sp, 0 
; 初期 カウ ンタ 値 を 0 に 設定 (WZR は 常に 9 を 保持 する レジ スタ ) 
str wzr, [x29,108] 
; ルー プ 条 件 チェ ッ ク コ ー ド に ジャ ンプ 
b .L2 
.L3: 


; "i" 変数 の 値 を ロー ド 
tdr w0, [x29, 108] 


; 2 倍 す る 
151 w2, w0, 1 

; ロー カル スタ ッ ク の 配列 の 位置 を 見 つけ る 
add x0, x29, 24 


: ロー カル スタ ッ ク か ら 符 号 な し 32 ビ ッ ト を ロー ド し 、64 ビ ッ ト の 符号 付き 値 へ 拡張 
tdrsw х1, [x29,108] 

; 要素 の アド レス を 計算 (X0+X1<<2=array address+1*4) し 、 そ こ に W2 (i*2) を 保存 
str w2, [х0,х1,151 2] 

; カウ ンタ (i) を イン クリ メン ト 
tdr w0, [x29,108] 
add w0, w0, 1 
str w0, [x29,108] 

.L2: 

; 終了 か を チェ ッ ク 
tdr w0, [x29,108] 


cmp w0, 19 
; 終了 で な けれ ば L3 に ジャ ンプ (ルー プ ボ ディ の 開始 ) 
bte .L3 


関数 の 第 二 部 が ここ か ら 始 まる 

初期 カウ ンタ 変数 を 0 に 設定 

と ころ で 、 ロ ー カ ルス タッ ク の 同じ 場所 が カウ ンタ と し て 使用 され ます 
同じ ロー カル 変数 (1) が カウ ンタ と し て 使用 され る か ら で す 


str wzr, [x29,108] 
b .L4 

.L5: 

; 配列 の アド レス を 計算 
add x0, x29, 24 

; "i" 値 を ロー ド 


ldrsw x1, [x29,108] 


330 


: アド レス (Х0+Х1<<2 = address of array + i*4) の 配列 か ら 値 を ロー ド 
tdr w2, [х0,х1,151 2] 
; "a[%d]=%d\n" 文字 列 の アド レス を ロー ド 
adrp х0, .LCO 
add x0, x0, :1012:.LC0 
; "i" 変 数 を W1 に ロー ド し 、pprintf( ) の 第 二 引 数 と し て 渡す 
ldr wl, [x29,108] 
; W2 は ロー ド さ れ た 配列 要素 の 値 を 保持 
printf( ) を 呼び 出す 
bl printf 
; "i" 変数 を イン クリ メン ト 
tdr w0, [х29, 108] 
ааа м0, м0, 1 
str w0, [x29,108] 


.L4: 

; BILE? 
tdr w0, [x29, 108] 
cmp w0, 19 

; 終了 し て いな けれ ば ルー プ ボ ディ の 開始 に ジャ ンプ 
bte .L5 

; 90 を リタ ー ン 
mov w0, 0 

; FP と LR を 戻す 
tdp x29, x30, [sp], 112 
ret 

MIPS 


関数 は 保存 し な く て は な ら な いた くさ ん の 5- レジ スタ を 使用 し ます 。 よ っ て 、 値 は 関数 プ 
ロロ ー グ で 保存 され 、 エ ピロ ー グ で リス ト ア され ます 。 


Listing 1.224: 最適 化 GCC 4.4.5 (IDA) 


main: 
var_70 = -0x70 
уаг_68 = -0x68 
var_14 = -0x14 
var_10 = -0x10 
var C = -0xC 
var 8 = -8 
var 4 = -4 
; 関数 プロ ロー グ 
lui $gp, (__опи local gp >> 16) 


addiu %5р, -0x80 

la $gp, ( gnu local gp & OxFFFF) 
SW $ra, 0x80+var_4($sp) 

SW $s3, 0x80+var_8($sp) 

SW $52, 0x80+var_C($sp) 

sw $s1, 0x80+var_10($sp) 

sw $50, Ox80+var 14($SD) 

Sw $gp, 0x80+var 70($sp) 


addiu $51, $sp, Ox80+var 68 
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move $v1, $51 
move $v0, $zero 

; この 値 は ルー プ 終 端 と し て 使用 され ます 

; コン パイ ル 時 に GCC コン パイ ラ に よっ て 事前 に 計算 され ます 
li $a0, 0x28 # '(' 


loc 34: # CODE XREF: main+3C 
: 値 を メモ リ に 保存 
SW $v0, 0($V1) 
; 各 イ テレ ーション 毎 に 値 を 2 イン クリ メン ト 
addiu $v0, 2 
; ルー プ 終 端 に 到達 し た ? 
bne $v0, $a0, loc 34 
; アド レス を 4 増やす 
addiu $v1, 4 
; 配列 に 詰め 込む ループ が 終了 
: 次 の ルー プ を 開始 


ta $s3, $LCO # "a[%d]=%dNn" 
; "i" 変数 が $s0 に 存在 

move $s0, $zero 

li $s2, 0x14 
loc 54: # CODE XREF: main+70 
; printf() を 呼び 出す 

lw $t9, (printf & OxFFFF ) ( $gD ) 

lw $a2, 0($51) 

move $al, $50 

move $a0, $s3 

jalr $t9 


; "i" を イン クリ メン ト 
addiu $s0, 1 


lw $gp, Ox80+var 70($sp) 
: ルー プ の 終了 に 到達 し て いな けれ ば ルー プ ボ ディ に ジャ ンプ 
bne $s0, $52, loc 54 


: メモ リポ イン タ を 次 の 32 ビ ッ ト word に 移動 する 
addiu $s1, 4 
関数 エピ ロー グ 


tw $ra, Ox80+var 4($sp) 
move $v0, $zero 

lw $s3, Ox80+var_8($sp) 
lw $52, Ox80+var_C($sp) 
lw $51, 0x80+var_10($sp) 
lw $s0, Ox80+var_14($sp) 
jr $ra 


addiu %5р, 0x80 


$LCO: .ascii "a[%d]=%dNn"<0> # DATA XREF: main+44 


面白 いこ と : 2 つの ルー プ が あり 、 最 初 の ルー プ は i が いり ませ ん 。 i«2 が 必要 な だ け で 
す ( 各 イ テレ ーション で 2 を イン クリ メン ト す る )。 そ れ と メモ リ 上 の アド レス が 必要 で す 
( 各 イ テレ ーション で 4 を 増やす )。 


だ か ら 、2 つ の 変数 を 確認 し ます 。1 つ は ($VO) 毎回 2 を 増やし 、 も う 1 つ は 4 増やし ます 
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($V1)。 


次 の ルー プ は printf() が 呼び 出さ れる と ころ で す 。。 の 値 を ユー ザ に 報告 し ます 。 毎 
回 1 増やす 変数 が あり ($50)、 そ し て メモ リア ドレ ス ($51) も 毎回 4 増え ます 。 


前 に 検討 し た ルー プ 最 適 化 を 私 た ち に 思い だ させ ます : ?? on page ?? 
目的 は 乗算 を 取り 除く こと で す 。 


第 1.20.2 節 バッ ファ オー バー フロ ー 
配列 の 範囲 外 の 読み 込み 


配列 の イン デック ス 化 は 単に array[index] で す 。 生成 され た コー ド を 詳し く 研 究 し た な 
ら 、20 未 満 で ある か チェ ッ ク す る よう な イン デック ス の 境界 チオ チェック が な いこ と に 気づく 
で し ょ う 。 も し イン デック ス が 20 以 上 だ っ た ら ど う で し ょ うか 。 これ は C/C++ が 批判 さ 
れる 1 つの 特徴 で す 。 


コン パイ ル さ れ て 動作 する コー ド が あり ます 。 


#include <stdio.h> 


int main( ) 

{ 
int a[20]; 
int i; 


for (i=0; i<20; i++) 
а[1]=1*2; 


printf ("a[20]=%d\n", a[20]); 


return 0; 


}; 


コン パイ ル 結 果 (MSVC 2008) 
Listing 1.225: 非 最適 化 MSVC 2008 


$5G2474 DB 'a[20]=%d', бан, OOH 


_1$ = -84 : size 


sub esp, 84 
mov DWORD РТА i$[ebp], 0 


jmp SHORT $LN3@main 
$LN2@main: 

mov eax, DWORD PTR i$[ebp] 

add eax, 1 

mov DWORD PTR i$[ebp], eax 
$LN3@main: 


cmp DWORD PTR i$[ebp], 20 
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jge SHORT $LN1@main 

mov ecx, DWORD PTR i$[ebp] 

sht ecx, 1 

mov edx, DWORD PTR i$[ebp] 

mov DWORD PTR _a$[ebp+edx*4], ecx 


jmp SHORT $LN2@main 

$LN1@main: 
mov eax, DWORD PTR _a$[ebp+80] 
push eax 


push OFFSET $SG2474 ; ‘a[20]=%d' 
call DWORD PTR imp printf 


add esp, 8 
xor eax, eax 
mov esp, ebp 
pop ebp 
ret 0 

main ENDP 

_ TEXT ENDS 


END 


コー ド は 次 の 結果 を 生成 し ます 。 
Listing 1.226: OllyDbg: console output 


a[20]=1638280 


これ は 単に 配列 の そば の スタ ッ ク に ある 何 か で す 。 配列 の 最初 の 要素 か ら 80 バ イト 離れ 
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この 値 が ど 


CPU - main thread, module r 


ss 

SBEC 

83EC 54 

Cr45 RC aaa 
EB 09 


5645 AC 

83Cg ai 

8945 RC 

8370 RC 14 
D GE 

8B4D AC 

01Е1 

8655 AC 

894С95 Ba 
BE 


5a 
68 00304000 
FF15 A020400 


сз 

68 28144000 
ES 90030000 
Ri 50304000 


Stack Toa ISFF44 1=0OTSFESS 


+++ му 


ERX=00000014 (decimal 20.) 


Jump from 40101C 


PUSH EBP 
MOU EBP,ESP 
SUB ESP,54 
MOV DWORD PTR SS:LLOCRL.211,68 
JMP SHORT 884801818 
MOU EAX, НП PTR SS:[LOCRL.211 


EAX, 

DWORD PTR SS: CLOCAL.211,EAX 
DWORD PTR SS:CLOCAL.211,14 
SHORT 6646162C 

ECX, DWORD PTR SS:CLOCAL.21] 


ECx,1 

EDX, DWORD PTR SS: [LUCHL .21 ] 

DWORD PTR SS:[EDX*4+EBP-S01,ECX 
Р SHORT 0040100F 


HI 
MOU EAX,DWORD PTR SS:[LOCRL.01J 


EAX 
PUSH OFFSET 00403000 
CALL DWORD PTR DS:[<&MSUCR90.printf>] 
ADD ESP,8 
XOR EAX, EAX 
MOU ESP, EBP 


RE 

PUSH 88401428 

CALL 004013EB 

MOU EAX, DWORD PTR DS:L4838581 
ШЕШЕП L PIL iaa ШИГЕ РП 


Hin /?С® 


pH” 


Сты 
цФ@ ри” 


20 番 目 の 要 素 を 読 


„#%1— + š. 
ot K 


ot iqHufTCa 
b f EA*wute 


ver mer 


こ か ら 来 る の か OllyDbg を 使っ て 見 つけ て み ま し ょ う 。 


最後 の 配列 の 要素 の すぐ あと に 配置 され た 値 を ロー ド し て 見 つけ まし ょ う 。 


ggggg926 
90900613 


; ОСЕ 
it @(FFFFFFFF) 
t Q(FFFFFFFF) 
t EFDDggg(FFF} 
t @(FFFFFFFF) 


LastErr 0800000080 ERROR SUCCI 
00000246 (NO,NB,E,BE, PE,GE,LE) 


а Ф = ш 0EIEI € @® = 


Fr ++ 


RETURN from r.004; 


1.88: OllyDbg: 込み 、printf( ) を 実行 する 


これ は 何で し ょ うか ? ス タッ クレ イア ウト で 判断 する と 、 れ た EBP レ ジス タ 


の 値 で す 。 


これ は 保存 さ 
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も っ と トレ ー ス し て どの よう に リス ト ア され る か 見 て み ま し ょ う 。 


CPU - main thread, module r 


PUSH EBP 

MOU EBP,ESP 

SUB ESP,54 

MOU DWORD PTR FER Dou 211,8 


JMP SHORT 004010 
OU EAX, "oes PTR SS: [LUCHL .21] 


BuGRD PTR SS:[LOCRL.211,ERX 
DWORD PTR SS: LLOCRL.211,14 

SHORT 6646162C 

E PTR SS: LLOCRL.211 


EDX, DWORD PTR 55: [LUCHL .21 1 
894С95 Ba DWORD PTR SS:[LEDX*4+EBP-S01,ECX 
EB ЕЗ JMP_SHORT 06040100F 

SB45 gg MOU ERX,DWORD PTR SS:CLOCAL.6] 

5a PUSH EAX 

68 00304000 |PUSH OFFSET 00403000 

FF15 Hg2g4ggt CALL x PTR 05: (<&MSUCR9G. printf >] 
ADD ESP,8 

XOR EAX, EAX 

MOU ESP, EBP 

POP ЕВР 

RETN 


c3 

68 28144000 | PUSH 884801428 

ES 90836086 | CALL 664613EB 

Al 250504088 nou EAX, DUORD PTR DS: [4930501 


Bt FFFFFFFF) 
g(FFFFFFFF} 

t 7EFDDGGG( FFF) 
BtFFFFFFFF) 


осш оогр оо 
a T aT: 


m « 
m 
п 


@ 
B 
+ 
> 


* 
Ф 
q 
H 
8 


M t NG 6 
H(n ^9C8 


Ганта 
Eft uus 


u$ = ul RETURN to kernels. 


RETURN to ntdll.7 


1.89: OllyDbg: EBP の 値 を リス ト ア 


本 当 に 、 異 な っ て いま すか ? コ ン パ イラ は イン デック ス 値 が 配列 の 境界 内 か を 常に チェ ッ 
ク す る 追加 の コー ド を 生成 する か も し れ ま せん 。( 高 水準 プロ グラ ミン グ 言 語 1*+ の よう に ) 
し か し 、 こ れ は コー ド を 遅く し ます 。 


配列 境界 を 越え て 書き こむ 


私 た ち は ス タッ ク か らい くつ か の 値 を 不正 に 読ん で いま す が 、 何 か を 書く こと が で きた ら 
どう な る で し ょ うか ? 


こう いう 風 に な り ま す 。 


#include <stdio.h> 


int main() 


{ 


121java, Python な ど 
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int a[20]; 
int i; 


for (i=0; i<30; i++) 
а[1]=1; 


return 0; 


}; 


MSVC 


そし て こう な り ま す 。 


Listing 1.227: 非 最適 化 MSVC 2008 


_ TEXT SEGMENT 


_1$ = -84 ; size = 4 
_а$ = -80 ; size = 80 
main PROC 

push  ebp 

mov ebp, esp 


sub esp, 84 

mov DWORD PTR i$[ebp], 0 
jmp SHORT $LN3@main 
$LN2@main: 

mov eax, DWORD PTR  i$[ebp] 
add eax, 1 

mov DWORD PTR 1$[ebp], eax 
$LN3@main: 


cmp DWORD PTR i$[ebp], 30 ; 0000001eH 


jge SHORT $LN1@main 
mov ecx, DWORD PTR  i$[ebp] 
mov edx, DWORD PTR i$[ebp] i 


jmp SHORT $LN2@main 


$LN1@main: 

xor eax, eax 
mov esp, ebp 
pop ebp 
ret 0 

_main ENDP 


この 命令 は 明らか ! 
mov DWORD РТА _a$[ebp+ecx*4], edx ; ECX は 2 つめ の オペ 


長 
ン 


ド と し て 使用 で 


コン パイ ル し た プロ グラ ム は 起動 後に クラ ッシュ し ます 。 当然 で す 。 ど こ で クラ ッシュ す 


る か が 正確 に みて み ま し ょ う 。 
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OllyDbg で ロー ド し 、30 要 素 が 書か れる まで トレ ー ス し て み ま し ょ う 。 


HOU EBE, ESP 

50401003 SEC 54 SUB ESP, E4 ER n 
0401006 D PTR SS:CLOCAL.211,6 E DID 
0040106D|| v EB 99 JP SHORT 98491918 ccce 
94g19gF U EAX, DWORD PTR SS: CLOCAL.211 со 
80481812 EAX, 1 
22401915 |5 882D AC 1E Do рт cei ie 213 ae 
gg4g1g1C|| ~~ 7D ac SHORT gg49192H HOUSSE м: POARTE 
00401981E 8B40 AC ECX, DWORD PTR SS:LLOCRL.211 0040102F u.0040182F 

8B55 AC EDX, DWORD PTR OCAL: 211 SPG fe 

895480 BO DWORD PTR SS: [ECXW4+EBP-5g],ED& 3 

EB ES JMP SHORT 9g491gF Sn MIEEEEEEREN 
gg4g182H| > 33c8 XOR EAX, EAX cbite BCEFEFEEFE) 
0040102C|| ・ 8BE5 HOU ESP, EBP SSD C daba 2A 
949162E 50 РОР ЕВР 32bit G(FFFFFFFF) 


0040102 єз RETH 
Solf. 68 14144000 |PUSH 00401414 
004019351]. ES 9093gggg |CALL 00401207 LastEr> 00800080 ERROR SUCCESS 
Go461058||- ñi 49304000 | MOU EAX, DWORD PTR DS: [493949] gggggz46 (NO,NB,E, BE, NS, PE, GE, LE) 
gg4g183F | Crad24 2C3g4 MOU DWORD PTR SS: CLOCAL.8], OFFSET 00403 
oo4o104e||- FF35 3C39499( PUSH DWORD PTR DS: C49393C] Brg3 enpty 0:0 
[818FF48]=99Bgg15 empty 0.8 
empty 0.0 
empty 0.0 
empty 0.0 
empty 0.0 


gg1SFEF4 


i . 回 
H ロロ 18FEF8 
grHcW 加 REB HI @@1ЗЕЕЕС 


аш @@18ЕЕ@й 
0018FF04 
gg18FFgB 
gg18FFgC 
gg18FF1g 
gg18FF14 
gg18FF18 
gg18FF1C 
gg18FF2g 
BB18FF24 
0018FF28 
0018FF2C 
gg18FF3g 
18FF34 
gg18FF38 
gg18FF3C 
gg18FF4g 
9918FF44 


O18FF4C 
aaisrrsa 
gg18FF54 
gg18FF58 
@613FFSC 
aaisrrea 
gg18FF64 
gg1SFF68 


gg18FF7g| gg18FFSB 
sf 8818FF74| CBB9B8 ア ァ 


ФГ t+ eee 


ax 


1.90: OllyDbg: EBP の 値 を リス ト ア し た 後 


338 


関数 が 終了 する まで トレ ー ス し ます 。 


FFFFFFFF 
FFFFFFFF 
FFFFFFFF 
FFFFFFFF 

?EFDDgg9(FFF) 

BLFFFFFFFF) 


ipty 
i 


ЕЕ ЕЕ FF FFE FF FF FF FF FE FF FF FF|U 
F5 RD 3 


+r Ф +4 708 


inter to next SI 
handler 


int 
handl 


E] 1.91: OllyDbg: EIP が リス ト ア され る が 、OlIlyDbg は 0x15 で ディ ス ア セン ブル で き な 
い 


レジ スタ を よく 見 て くだ さ 


EIP は 0x15 で す 。 コ ー Se ドレ ス で は あり ませ ん 。 少な く と も win32 の コー ド 
と し て は ! 我々 の 意志 に 反し て いま す 。EBP レジ スタ が 0x14 を 、ECX と EDX が 0x1D を 含 
ん で いる と いう こと が 面白 いで す 。 


スタ ッ ク レ イア ウト を も う 少 し 勉強 し まし ょ う 。 


制御 フロ ー が main( ) を 通っ た あと 、EBP レジ スタ の 値 は スタ ッ ク に 保存 され ます 。 それ 
か ら 、84 バ イト が 配列 と ? 用 に 確保 され ます 。 それ は (20+1)*sizeof(int) G€, ESP 
は ロー カル スタ ッ ク の i 変数 を 指し 、 次 の PUSH something の 実行 の 後 で 、 何 か が 次 
の 1i に 現れ ます 。 


これ が 、 制 御 が main() に ある と き の ス タッ クレ イア ウト で す 。 
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ESP 4 バイ ト が í 変数 に 確保 され る 
ESP+4 | 80 バ イト が a[20] 配列 に 確保 され る 
ESP+84 | EBP の 値 を 保存 

ESP+88 | リタ ー ン アド レス 


a[19]=something 文 は 配列 の 境界 で ある 最後 の int を 書き 込み ます ( 今 は 境界 内 で す D) 
a[20]=something 文 は ЕВР の 値 が 保存 され た 場所 に 何 か を 書き 込み ます 。 


クラ ッシュ 時 の レジ スタ の 状態 を 見 て くだ さい 。 我々 の 場合 、20 番 目 の 要素 に 20 が 書か れ 
て いま す 。 関数 の 最後 で 、 関数 エピ ロー グ が オリ ジ ナ ル の EBP 値 を リス ト ア し ます 。 (10 進 
数 の 20 は 16 進 数 で 0x14 TF), TLT, RET が 実行 され ます 。 これ は POP ETP 命令 と 
同じ 効果 で す 。 

RET 命令 は スタ ッ ク か ら リ ター ン ア ドレ ス を 取っ て (これ は CRT の 中 の アド レス で 、main( ) 
を 呼び 出し た アド レス で す )、 21 が 保存 され ます (16 進 数 で 0x15). CPU は アド レス 0x15 
を トラ ッ プ し ます が 、 実 行 可能 な コー ド が ここ に な い の で 、 例 外 が 発生 し ます 。 


よう こそ ! バッ ファ オー バー フロ ー で す 。122 


int 配列 を 文字 列 (char 配列 ) で 置換 する に は 、 意図 的 に 長い 文字 列 を 作成 し 、 そ れ を プ 
ログ ラム に 渡し 、 関 数 に 渡し 、 文 字 列 の 長 さ を チェ ッ ク せ ず 、 よ り 短 い バ ッ フ ァ に コピ ー 
し 、 そ こ に ジャ ンプ する アド レス を プロ グラ ム に 指し 示す こと で 可能 に な り ま す 。 実際 に 
は そん な に 簡単 で は あり ませ ん が 、 そ れ が 現実 に どの よう に 現れ た か が 重要 で す 。 古典 的 
な 記事 は : [Aleph One, Smashing The Stack For Fun And Profit, (1996)]123 


GCC 


GCC 4.4.1 で 同じ コー ド を 試し て み ま し ょ う 。 次 を 得 ま す 。 


public main 


main proc near 
a = dword ptr -54h 
i = dword ptr -4 
push ebp 
mov ebp, esp 
sub esp, 60h ; 96 
mov [ebp+i], 0 
jmp short loc 80483D1 
loc 80483C3: 
mov eax, [ebp+i] 
mov edx, [ebp+i] 
mov [ebp+eax*4+a], edx 
add [ebp+i], 1 
loc 80483D1 : 
стр [ebp+i], 1Dh 
jle short loc 80483C3 
mov eax, 0 
leave 


122wikipedia 
123 以 下 で 利用 可能 http://yurichev .com/mirrors/phrack/p49- 0x0e.txt 
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retn 
main endp 


Linux で 動か す と Segmentation fault が 発生 し ます 。 
GDB デバ ッ ガ で 動か す と 、 こ の よう に な り ま す 。 


(gdb) r 
Starting program: /home/dennis/RE/1 


Program received signal SIGSEGV, Segmentation fault. 
0x00000016 in ?? () 
(gdb) info registers 


eax 0x0 0 

ecx 0xd2f96388 -755407992 
edx Ox1d 29 

ebx Ox26eff4 2551796 

esp Oxbffff4bO Oxbffff4bO 
ebp 0x15 0x15 

esi 0x0 0 

edi 0x0 0 

eip 0x16 0x16 

eflags 0x10202 [ IF RF ] 

CS 0x73 115 

ss 0x7b 123 

ds 0x7b 123 

es 0x7b 123 

fs 0x0 0 

gs 0x33 51 

(gdb) 


レジ スタ 値 は win32 の 例 と は 少し 異な り ま すし 、 ス タッ クレ イア ウト も 少し 違い ます 。 


第 1.20.3 節 バッ ファ オー バー フロ ー 保 護 手法 


この ソー スコ ー ド に 対す る 保護 手法 は いく つか あり 、C/C++ プロ グラ マ の 怠慢 に も か か 
わら ず 、MSVC に は オプ ショ ン が あり ます 。* ぢ 4 


/RTCS スタ ッ ク フ レー ム の 実行 時 チェ ッ ク 
/GZ スタ ッ ク チ ェ ッ ク の 有効 化 (/RTCs ) 


手法 の 1 つ に 関数 プロ ロー グ で スタ ッ ク の ロー カル 変数 の 間 に ラ ンダ ム な 値 を 書き 込み 、 
関数 を 終了 する 前 に 関数 エピ ロー グ で それ を チェ ッ ク す る と いう も の が あり ます 。 OR 
じ で な けれ ば 、 最 後 の 命令 RET を 実行 せ ず 、 停 止 (ハン グ ) し ます 。 プ ロ セ ス は 停止 し ま 
SD, 遠隔 の 攻撃 者 が あな た の ホス ト を 攻撃 する より は よい こと で す 。 


この ラン ダム な 値 は し ば し ば 「 カ ナリ ア 」 と 呼ば れ 、 炭鉱 労 働 で の カナ リア に 関連 し て い 
ます 。125 昔 、 有 毒 な ガス を 一 早く 検知 で きる よう 、 炭 鉱 労働 者 に 使用 され て いま し た 。 


124 コ ン パ イラ サイ ド の バッ ファ オー バー フロ ー 保 護 手法 : wikipedia.org/wiki/Buffer_overflow_protection 
125 wikipedia.org/wiki/Domestic_canary#Miner.27s_canary 
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カナ リア は 炭鉱 の ガス に と っ て も 敏感 で 、 危 機 の 際 に 騒ぎ 立て 、 場 合 に よっ て は 死ん で し 
まい まし た 。 


と て も シン プル な 配列 の 例 を MSVC で RTC1 と RTCs オ プシ ョ ン 付 き で コン パイ ル す る 場 
£ (1.20.1 on page 322)! カ ナリ ア 」 が 正しい か どう か 、 関 数 の 最後 に @ АТС CheckStackVarsG8 
を 呼び 出す の を 見 る こと が で きま す 。 


GCC が これ を どの よう に 扱う か を 見 て み ま し ょ う 。attoca( ) (1.7.2 on page 45) の 例 を 
扱い まし ょ う 。 


#ifdef GNUC ` 

#include <attoca.h> // GCC 
#else 

#include <malloc.h> // MSVC 
#endif 

#include <stdio.h> 


void f() 


{ 

char *buf=(char*)alloca (600); 
#ifdef | GNUC ` 

snprintf (buf, 600, "hi! %d, %d, %d\n", 1, 2, 3); // GCC 
#else 

_snprintf (buf, 600, "hi! %d, %d, %d\n", 1, 2, 3); // MSVC 
#endif 


puts (buf); 
}; 


デフ ォ ル ト で は 、 追 加 の オプ ショ ン な し に 、GCC 4.7.3 は 「 カ ナリ ア 」 チ ェ ッ ク を コー ド 
に 挿入 し ます 。 


Listing 1.228: GCC 4.7.3 


.LC0: 
.string "hi! %d, %d, %d\n" 
f: 
push ebp 
mov ebp, esp 
push ebx 
sub esp, 676 
lea ebx, [esp+39] 
and ebx, -16 
mov DWORD PTR [esp+20], 3 
mov DWORD PTR [esp+16], 2 
mov DWORD PTR [esp+12], 1 
mov DWORD PTR [esp+8], OFFSET FLAT:.LCO ; "hi! %d, %d, %d\n" 
mov DWORD PTR [esp+4], 600 
mov DWORD PTR [esp], ebx 
mov eax, DWORD PTR gs:20 ‚ スタ ッ ク カ ナリ ア 
mov DWORD РТА [ebp-12], еах 
xor eax, eax 
call _snprintf 
mov DWORD PTR [esp], ebx 
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call puts 
mov eax, DWORD PTR [ebp-12] 
xor eax, DWORD PTR gs:20 s カナ リア を チェ ッ ク 
jne .L5 
mov ebx, DWORD PTR [ebp-4] 
leave 
ret 
‘LS: 
call _ stack chk fail 


ラン ダム 値 が 05:20 に 配置 され ます 。 ス タッ ク に 書か れ て 、 関 数 の 最後 で スタ ッ ク の 
値 が gs:20 の 「 カ ナリ ア 」 と 一 致し て いる か 比較 し ます 。 値 が 一 致し て いな けれ ば 、 
stack chk fait 関数 が 呼び 出さ れ 、 と きど き (Ubuntu 13.04 x86): の よう な も の を 


コン ソー ル で みる こと が あり ます 。 


*** buffer overflow detected ***: ./2 1 terminated 
======= Backtrace: ========= 
/1ib/i386-linux-gnu/libc.so.6(__ fortify_fail+0x63) [0xb7699bc3] 
/1ib/i386-linux-gnu/libc.so.6(+0x10593a) [0xb769893a] 

/tib/1386 - Linux - gnu/tibc.so.6(+0x105008 ) [0xb7698008] 
/lib/i386-linux-gnu/libc.so.6( IO default xsputn-«0x8c) [9xb7606e5c] 
/lib/i386-linux-gnu/libc.so.6( IO vfprintf+0x165) [0xb75d7a45] 
/lib/i386-linux-gnu/libc.so.6( vsprintf chk«0xc9)[0xb76980d9] 
/lib/i386-linux-gnu/libc.so.6( sprintf chk«0x2f)[0xb7697fef] 

./2 1[0x8048404] 
/lib/i386-linux-gnu/libc.so.6( libc start main«0xf5)[0xb75ac935] 


08048000-08049000 r-xp 00000000 08:01 2097586 /home/dennis/2 1 

08049000-0804a000 r--p 00000000 08:01 2097586 /home/dennis/2 1 

0804a000-0804b000 rw-p 00001000 08:01 2097586 /home/dennis/2 1 

094d1000-094f2000 rw-p 00000000 00:00 0 [heap] 

b7560000-b757b000 r-xp 00000000 08:01 1048602 /1lib/i386-linux-gnu/7 
s libgcc s.so.1 

b757b000-b757c000 r--p 0001a000 08:01 1048602 /1ib/i386-linux-gnu/7 
s libgcc s.so.1 

b757c000-b757d000 rw-p 0001b000 08:01 1048602 /1ib/i386-linux-gnu/7 
s libgcc s.so.1 

b7592000-b7593000 rw-p 00000000 00:00 0 

b7593000-b7740000 r-xp 00000000 08:01 1050781 /1ib/i386-linux-gnu/libc2 


s -2.17.s0 

b7740000-b7742000 r--p 001ad000 08:01 1050781 /lib/i386-linux-gnu/libc7 
s -2.17.s0 

b7742000-b7743000 rw-p 001af000 08:01 1050781 /lib/i386-linux-gnu/libc 
s -2.17.s0 


b7743000-b7746000 rw-p 00000000 00:00 0 

b775a000-b775d000 rw-p 00000000 00:00 0 

b775d000-b775e000 r-xp 00000000 00:00 0 

b775e000-b777e000 r-xp 00000000 08:01 1 
s -2.17.s0 

b777e000-b777f000 r--p 0001f000 08:01 1050794 /lib/i386-linux-gnu/ld 
s -2.17.s0 

b777f000-b7780000 rw-p 00020000 08:01 1050794 /lib/i386-linux-gnu/ld 
s -2.17.s0 


[vdso] 
050794 /1lib/i386-linux-gnu/ld 


343 


bff35000-bff56000 rw-p 00000000 00:00 0 [stack] 
Aborted (core dumped) 


gs は いわ ゆる セグ メン トレ ジス タ で す 。 こ の レジ スタ は 広く MS-DOS や DOS 拡 張 で 使用 さ 
れ ま し た 。 今日 、 こ の 機能 は 異な っ て いま す 。 


簡単 に 言う と 、 Linux で の gs レジ スタ は 常に TLS+26 (?? on page ??) を 指し 示し ます 。 ス 
レッ ド 固 有 の 情報 が そこ に 保存 され ます 。 と ころ で 、win32 で は fs レジ スタ は 同じ 役割 
を 担い 、TIB+27 を 指し 示し ます 。+28 


より 詳細 は Linux カ ー ネ ル ソー スコ ー ド arch/x86/include/asm/stackprotector.h の 中 に 
コメ ント と し て 記述 し て ある の を 見 つけ られ ます (少な く と も 3.11 バ ー ジ ョ ン に は )。 


最適 化 Xcode 4.6.3 (LLVM) (Thumb-2 モ ー ド ) 


単純 な 配列 の 例 に 戻り まし ょ う (1.20.1 on page 322)。 


繰り 返し ます が 、LLVM が 「 カ ナリ ア 」 の 正 し さ を どの よう に チェ ッ ク す る の か 見 る こと が 
で きま す 。 


_main 
var_64 = -0x64 
var_60 = -0x60 
var_5C = -0x5C 
var_58 = -0x58 
var_54 = -0x54 
var_50 = -0x50 
var 4C = -0x4C 
var 48 = -0x48 
var 44 = -0x44 
var 40 = -0x40 
var 3C = -0x3C 
var 38 = -0x38 
var 34 = -0x34 
var 30 = -0x30 
var 2C - -0x2C 
var 28 - -0x28 
var 24 = -0x24 
var 20 - -0x20 
var 1C = -0x1C 
var 18 - -0x18 
canary = -0x14 
var 10 - -0x10 
PUSH {R4-R7,LR} 
ADD R7, SP, #0xC 
STR.W R8, [SP,#0xC+var_10]! 
SUB SP, SP, #0x54 
MOVW RO, £a0bjc methtype ; "objc methtype" 


126Thread Local Storage 


127Thread Information Block 


P$8wikipedia.org/wiki/Win32 Thread Information Block 
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#0 

#0 

#0 

РС 

[RO] 

[R8] 
[SP,#0x64+canary ] 
#2 
[SP,#0x64+var_ 64] 
[SP,#0x64+var_ 60] 
#4 
[SP,#0x64+var_5C] 
#6 
[SP,#0x64+var_ 58] 
#8 
[SP,#0x64+var_ 54] 
#0xA 
[SP,#0x64+var_ 50] 
#0xC 

[SP, #0x64+var 4C] 
#0xE 

[SP, #0x64+var 48] 
#0x10 
[SP,#0x64+var 44] 
#0x12 

[SP, #0x64+var 40] 
#0x14 
[SP,#0x64+var_3C] 
#0x16 
[SP,#0x64+var_38] 
#0x18 
[SP,#0x64+var_34] 
#0х1А 
[SP,#0x64+var_30] 
#0х1С 
[SP,#0x64+var_2C] 
#0x1E 
[SP,#0x64+var_28] 
#0x20 
[SP,#0x64+var_24] 
#0x22 
[SP,#0x64+var_20] 
#0x24 
[SP,#0x64+var_1C] 
#0x26 
[SP,#0x64+var_18] 


OxFDA ; "a[%d]=%dNn" 


: 次 の ルー プ を 繰り 返す 
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loc 2F14 
ADDS RO, R5, #1 
LDR.W R2, [R6,R5,LSL#2] 
MOV R5, RO 
Loc 2F1C 
MOV RO, R4 
MOV R1, R5 
BLX _printf 
CMP R5, #0x13 
BNE loc_2F14 
LDR.W RO, [R8] 
LDR R1, [SP,#0x64+canary] 
CMP RO, R1 
ITTTT EQ ; カナ リア は 正しい か ? 


MOVEQ RO, #0 

ADDEQ SP, SP, #0х54 

LDREQ.W R8, [SP+0x64+var_64],#4 
POPEQ {R4-R7,PC} 

BLX _ Stack chk fail 


まず 最初 に 、 見 て きた よう に 、LLVM は ルー プ を 「 展 開 し 」、LLVM は 高速 に な る と 結論 づけ 
て 、 事 前 に 計算 され て 値 は すべ て 配列 に 1 つ 1 つ 書か れ ま す 。 な お 、ARM モ ー ド で の 命令 は 
これ を より 高速 に する 手助け を する か も し れ ま せん 。 これ を 見 つけ る の は 宿題 に し ます 。 
関数 の 最後 で 「 カ ナリ ア 」 の 比較 を 見 ます 。 ロー カル スタック の カナ リア と R で 指し 示 
し た 正しい も の と の 。 

それ ぞ れ が 一 致し て いれ ば 、4 命 令 ブ ロッ ク が ITTTT EQ で 実行 され 、RO に 0 が 書か れ 、 
関数 エピ ロー グ が 終了 し ます 。「 カ ナリ ア 」 が 一 致し て いな けれ ば 、 ブ ロッ ク が スキ ッ プ さ 
L. stack chk fail 関数 へ の ジャ ンプ が 実行 され 、 お そら く 実 行 が 停止 され ます 。 


第 1.20.4 節 配列 に つい て も う 少 し 
今や C/C++ の コー ド で この よう に 書き 込む の が 不可 能 な こと を 理解 し て いま す 。 


void f(int size) 


{ 


int a[size]; 


H 


コン パイ ラ は コン パイ ル 時 に ロー カル スタ ッ ク レ イア ウト 上 の 場所 を 確保 する た め に 正確 
な 配列 の サイ ズ を 知る 必要 が あり ます 。 


配列 の 任意 の サイ ズ を 必要 と する 場合 、mattoc( ) を 使用 し て 確保 し 、 そ し て 確保 し た メ 
モリ ブロ ッ ク に 必要 と する 型 の 変数 の 配列 と し て アク セス し ます 。 


また は C99 標 準 の 機能 [ISO/IEC 9899:7C3 (C C99 standard), (2007)6.7.5/2] を 使用 し ま 
す 。 内 部 で alloca() (1.7.2 on page 45) を 使用 し て いる か の よう に 働き ます 。 


C 用 の ガー ベッ ジコ レク ショ ン ラ イブ ラリ を 使用 する こと も 可能 で す 。 
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C++ 向 け に スマ ー ト ポイ ンタ を サポ ー ト する ライ ブラ リ も あり ます 。 


第 1.20.5 節 文字 列 へ の ポイ ンタ の 配列 
ここ で は 、 ポ イン タ の 配列 の 例 を 示し ます 。 
Listing 1.229: Get month name 


#include <stdio.h> 


const char* month1[]= 


t 
"January", "February", "March", "April", 
"May", "June", "July", "August", 
"September", "October", "November", "December" 
}; 


// 0~11O С 
const char* get_monthl (int month) 


í 
}; 


return monthl[month]; 


x64 


Listing 1.230: 最適 化 MSVC 2013 x64 


DATA | SEGMENT 


monthl DQ FLAT: $SG3122 

DQ FLAT: $SG3123 

DQ FLAT:$SG3124 

DQ FLAT: $SG3125 

DQ FLAT:$SG3126 

DQ FLAT:$SG3127 

DQ FLAT:$SG3128 

DQ FLAT:$SG3129 

DQ FLAT:$SG3130 

DQ FLAT:$SG3131 

DQ FLAT:$SG3132 

DQ FLAT:$SG3133 
$SG3122 DB 'January', 00H 
$563123 DB 'February', 00H 
$563124 DB 'March', 00H 
$563125 DB 'April', 00H 
$SG3126 DB 'May', OOH 
$563127 DB 'June', OOH 
$563128 DB 'July', 00H 
$SG3129 DB 'August', 00H 
$563130 DB 'September', 00H 
$SG3156 DB '%s', бан, OOH 
$563131 DB 'October', OOH 
$563132 DB 'November', 00H 


$SG3133 DB 'December', 00H 
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_DATA ENDS 


month$ = 8 
get_month1 PROC 
movsxd rax, ecx 


lea rcx, OFFSET FLAT:month1 
mov rax, QWORD PTR [rcx+rax*8] 
ret 0 


get_month1 ENDP 


コー ド は と て も 単純 で す 。 


° 最初 の MOVSXD 命令 は 、ECX (month 引数 が 渡さ れる ) か ら 32 ビ ッ ト の 値 を 符号 拡 
張 付 き の ВАХ (month 引数 は int 型 な の で ) に コピ ー し ます 。 
符号 拡張 の 理由 は 、 こ の 32 ビ ッ ト 値 が 他 の 64 ビ ッ ト 値 と の 計算 に 使用 され る た めで 
し た が っ て 、64 ビ ッ ト 142 に 昇格 させ る 必要 が あり ます 。~*23 

・ 次 に ポイ ンタ テー ブル の アド レス が RCX に ロー ド さ れ ま す 。 

・ 最後 に 、 入 力 値 (month) に 8 を 掛け て アド レス に 加算 し ます 。 確か に : 私 た ち は 64 ビ 
ッ ト 環 境 に あり 、 すべ て の アド レス (また は ポイ ンタ ) は 正確 に 64 ビ ッ ト (また は 8 バ 
イト ) の 記憶 域 を 必要 と し ます 。 し た が っ て 、 各 テー ブル 要素 は 8 バイ ト 幅 で す 。 それ 
で 、 な ぜ 特 定 の 要素 month * 8 を スキ ッ プ する 必要 が ある の で し ょ うか 。 これが MOV 
が 行う こと で す 。 さ ら に 、 こ の 命令 は この アド レス の 要素 も ロー ド し ます 。1 の 場合 、 
要素 は 「February」 な ど を 含む 文字 列 へ の ポイ ンタ に な り ま す 。 

最適 化 GCC 4.9 は も っ と よく 仕事 を こなし ます 。139 


Listing 1.231: 最適 化 GCC 4.9 x64 


movsx rdi, edi 
mov rax, QWORD PTR month1[0+rdi*8] 
ret 


32 ビ ピット MSVC 


32 ビ ピット MSVC コ ン パ イラ で も コン パイ ル し て み ま し ょ う 。 
Listing 1.232: 最適 化 MSVC 2013 x86 


_month$ = 8 

get month1 PROC 
mov eax, DWORD PTR month$[esp-4] 
mov eax, DWORD PTR monthl[eax*4] 
ret 0 


_get_monthl ENDP 


129 や や 奇妙 で す が 、 負 の 配列 イン デック ス は ここ で G€ month と し て 渡す こと が で きま す ( 負 の 配列 イン デック ス 
は 後 で 説明 し ます : 77), これ が 起こ る と 、int 型 の 負 の 入力 値 が 正しく 符号 拡張 され 、 テ ー ブ ル の 前 の 対応 する 
要素 が 選択 され ます 。 符号 拡 張 な し で は 正しく 動作 し ませ ん 。 

130GCC ア セン ブラ 出力 が 排除 する の に 十分 な ほど 整っ て いな い の で 、「0+」 が リス ト に 残っ て いま し た 。 それ 
は 変位 で あり 、 こ こ で は ゼロ で す 。 
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入力 値 は 64 ビ ッ ト に 拡張 する 必要 が な い の で 、 そ の まま 使わ れ ま す 。 
そし て 4 倍 さ れ ま す 。 テ ー ブ ル 要素 が 32 ビ ッ ト (また は 4 バイ ト ) 幅 だ か ら で す 。 


32 ビ ピット ARM 
ARM モ ー ド で の ARM 


Listing 1.233: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


get month1 PROC 


LDR rl, |LO.100| 
LDR го, [Fr1,FO,LSL #2] 
BX tr 
ENDP 

|L0.100| 
DCD | | .datal | 
DCB "January" ,0 
DCB "February", 
DCB "March",0 
DCB "April",0 
DCB "Мау", 0 
DCB "June" ,0 
DCB "July" ,0 
DCB "August",0 
DCB "September",0 
DCB "October",0 
DCB "November" , 0 
DCB "December",0 


AREA ||.data||, DATA, ALIGN=2 
month1 


DCD conststring| | 

DCD conststring| | +0х8 
рср conststring| |+0x11 
DCD conststring| |+0x17 
DCD conststring | |+0x1d 
DCD conststring| |+0x21 


ll: 
ll: 
ll: 
ll: 
ll: 
ll: 
DCD || .conststring | |+0x26 
ll: 
ll: 
ll: 
ll: 
ll: 


DCD conststring||+0x2b 
DCD conststring | |+0x32 
DCD conststring | |+0x3c 
DCD conststring| |+0x44 
DCD conststring | |+0x4d 


テー ブル の アド レス は R1 に ロー ド さ れ ま す 。 


残り の すべ て は LDR 命令 1 つ だ け を 使っ て 行わ れ ま す 。 


AJ month は 2 ビッ ト 左 シフ ト し ます (4 倍 す る の と 同じ で す ) 。 それから R1 に 加 
えま す (テー ブル の アド レス の 場所 )。 そ し て テー ブル 要素 は この アド レス か ら ロ ー ド 


えら 
され 
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ます 。 
32 ビ ッ ト テ ー ブ ル 要素 は テー ブル か ら R0 に ロー ド さ れ ま す 。 


Thumb モ ー ド で の ARM 


コー ド は ほとん ど 同 じ で す が 、 よ り 密 度 が 低い で す 。LSL サフ ィ ッ クス は LDR 命令 で は 特 
定 で き な い か ら で す 。 


get month1 PROC 


LSLS r0,r0,#2 
LDR r1,|L0.64| 
LDR r0,[r1, r0] 
BX tr 

ENDP 


ARM64 
Listing 1.234: 最適 化 GCC 4.9 ARM64 

get month1: 

adrp X1, .LANCHORO 

add X1, x1, :1012:.LANCHORO 

ldr x0, [x1,w0,sxtw 3] 

ret 
.LANCHORO = . + 0 


‚туре | monthl, %object 
.Size monthl, 96 


month1: 

.xword .LC2 

.xword .LC3 

.xword .LC4 

.xword .LC5 

.xword .LC6 

.xword .LC7 

.xword .LC8 

.xword .LC9 

.xword .LC10 

.xword .LC11 

.xword .LC12 

.xword  .LC13 
.LC2: 

.string "January" 
.LC3: 

.string "February" 
.LC4: 

.string "March" 
.LC5: 

.string "April" 
.LC6: 


.string "May" 
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.LC7: 

.string 
.LC8: 

.string 
.LC9: 

.string 
.LC10: 

.string 
.LC11: 

.string 
.LC12: 

.string 
.LC13: 

.string 


"June" 
"July" 
"August" 
"September" 
"October" 
"November" 


"December" 


テー ブル の アド レス は ADRP/ADD 命令 の 組 を 使っ て X1 に ロー ド さ れ ま す 。 


それ か ら 付随 す る 要素 LDR を 使っ て 選ば れ て 、W0 を 取り ます (入力 引数 month の 場所 の 
レジ スタ )。 左 に 3 ビッ トシ フト し ます (8 倍 す る の と 同じ で す )。 符号 拡張 し (「sxtw」 サフ 
ィ ッ クス が 暗示 し て いま す )、X0 に 加算 し ます 。 そ れ か ら 64 ビ ッ ト 値 が テー ブル か ら X0 に 


ロー ド さ れ ま す 。 
MIPS 

Listing 1.235: 最適 化 GCC 4.4.5 (IDA) 
get month1: 


: テー ブル の アド レス を $vQ に ロー ド 


入力 値 を 4 倍 す る 


: テー ブル の アド レス と 掛け 合わ され た 値 


ta $vO, month1 
sll $a0, 2 


addu фаб, $v0 


合計 する 


; この アド レス の テー ブル の 要素 を $v9 に ロー ド す る 


j: リタ ー ン シン 


month1 : 


lw $v0, 0($а0) 
jr $ra 
or gat, $zero ; branch 


.data # .data.rel.local 
.globl monthl 
.word aJanuary 
.word aFebruary 
.word aMarch 
.word aApril 
.word aMay 

.word aJune 
.word aJuly 
.word aAugust 
.word aSeptember 
.word a0ctober 
.word aNovember 
.word aDecember 


dk Xdk Xk xk XE + H H 


delay slot, NOP 


"18 
"2H 
"3H 
"4 月 
"5H 
"6H 
"7H 
"8H 
"9А 
"10 
"11 
"12 
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.data # .rodata.str1.4 


aJanuary: .ascii "January "<0> 
aFebruary: .ascii "February"<0> 
aMarch: .ascii "March"<0> 
aApril: .ascii "April"<0> 
aMay: .ascii "May"<0> 
aJune: .ascii "June"<0> 
aJuly: .ascii "July"<0> 
aAugust: .ascii "August"<0> 
aSeptember: .ascii "September"<0> 
a0ctober: .ascii "October"«0» 
aNovember: .ascii "November"«0» 
aDecember: .ascii "December"«0» 
配列 オー バー フロ ー 


関数 は 0 て 11 の 範囲 の 値 を 受け 付け ます が 、12 は 通す で し ょ うか ? テ ー ブ ル に は その 場所 
の 要素 は あり ませ ん 。 


な の で 関数 は そこ に た また まあ る 値 を ロー ド し て リタ ー ン し ます 。 


すぐ 後 で 、 他 の 関数 が この アド レス か ら テ キス ト 文 字 列 を 取得 し よう と し て クラ ッシュ す 
る か も し れ ま せん 。 


例 を win64 用 と し て MSVC で コン パイ ル し て 、 テ ー ブ ル の 後に リン カー が 何 を 配置 し た の 
か を IDA で 見 て み ま し ょ う 。 


Listing 1.236: IDA で の 実行 可能 ファ イル 


off 140011000 dq offset aJanuary 1 DATA XREF: .text:0000000140001003 


"January" 
dq offset aFebruary 1 "February" 
dq offset aMarch 1 "March" 
dq offset aApril 1 "April" 
dq offset aMay 1 "May" 
dq offset aJune 1 "June" 


dq offset aAugust 1 "August" 
dq offset aSeptember 1 "September" 
dq offset aOctober 1 "October" 
dq offset aNovember 1 "November" 
dq offset aDecember 1 "December" 


dq offset aJuly 1 ; "July" 


aJanuary 1 db ‘January',0 DATA XREF: sub 14000102044 
; .data:off 140011000 
aFebruary 1 db 'February',0 DATA XREF: .data:0000000140011008 
align 4 
aMarch 1 db 'March',0 ; DATA XREF: .data:0000000140011010 
align 4 
aApril 1 db 'April',0O ; DATA XREF: .data:0000000140011018 


月 の 名 前 が その あと に 来 て いま す 。 
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プロ グラ ム は 小さ い の で 、 デ ー タ セグ メン ト に パッ ク さ れる デー タ は 多く あり ませ ん 。 だ 
か ら 単 に 次 の 名 前 が 来 て いま す 。 し か し 注意 す ベ べき は リン カー が 配置 する よう に 決定 する 
の は どん な も の も あり えま す 。 


だ か ら も し 12 が 関数 に 渡さ れ た ら ?13 番 目 の 要素 が リタ ー ン され ます 。 
CPU が そこ に ある バイ ト を 64 ビ ッ ト の 値 と し て どの よう に 扱う か を みて み ま し ょ う 。 
Listing 1.237: IDA で の 実行 可能 ファ イル 


off 140011000 dq offset qword 140011060 
; DATA XREF: .text:0000000140001003 


dq offset aFebruary 1 "February" 
dq offset aMarch 1 "March" 

dq offset aApril 1 ; "April" 

dq offset aMay 1 "May" 

dq offset aJune 1 ; "June" 

dq offset aJuly 1 ; "July" 


dq offset aSeptember 1 ; "September" 
dq offset aOctober 1 "October" 

dq offset aNovember 1 ; "November" 
dq offset aDecember 1 "December" 


qword 140011060 dq 797261756E614Ah DATA XREF: sub 14000102044 


dq offset aAugust 1 ; "August" 
; .data:off 140011000 


aFebruary 1 db 'February',0 DATA XREF: .data:0000000140011008 
align 4 

aMarch 1 db 'March',0 ; DATA XREF: .data:0000000140011010 

0x797261756E614A C 3, 


すぐ 後 で 、 他 の 関数 (お そら く 文 字 列 を 扱う 関数 ) が この アド レス で バイ ト を 読み 込 も う 
と する と 、 に 言語 の 文字 列 を 期待 し ます 。 


THAAD. 、 ク ラッ シュ し ます 。 こ の 値 は 有効 な カド レス の よう に は 見 えな いか ら で す 。 
配列 オー バー フロ ー 保 護 


失敗 する 可能 性 の ある も の は 、 失 敗 す る 。 
マー フィ ー の 法則 
あな た の 関数 を 使用 する プロ グラ マ は みな 11 よ り 大 き な 値 を 引数 と し て 渡さ な いと 期待 
する の は ちょ っ と ナイ ー ブ で す 。 


問題 を で きる だ け 早 く 報 告 し 停止 する こと を 意味 する 「fail early and fail loudly」 ま た は 
「 早 く 失 敗 す る 」 と いう 哲学 が あり ます 。 


その よう な 方 法 の 1 つ に C/C++ の assertion が あり ます 。 
不正 な 値 が 通っ て きた ら 、 失敗 する よう に プロ グラ ム を 変更 で きま す 。 
Listing 1.238: assert() を 追加 


| const char* get month1 checked (int month) 
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assert (month<12); 
return monthl[month]; 


}; 


アサ ーション マク ロ は 関数 の 開始 時 に 妥当 な 値 か チェ ッ ク し 、 式 が 偽 の 場合 に 失敗 し ます 。 


Listing 1.239: 最適 化 MSVC 2013 x64 


$5G3143 DB 
DB 
$5G3144 DB 
DB 


month$ = 48 


, OOH, 'о', OOH, 'n', OOH, 
, 00H, OOH, OOH 

, 00H, 'o', OOH, 'n', 00H, 
, OOH, '2', OOH, ӨӨН, OOH 


m 
C 
m 
1 


get monthl checked PROC 


$LN5: 
push 
sub 
movsxd 


call 
$LN3Gget monthl: 

lea 

mov 

add 

pop 

ret 


rbx 

rsp, 32 

rbx, ecx 

ebx, 12 

SHORT $LN3Gget monthl 
rdx, OFFSET FLAT:$SG3143 
rcx, OFFSET FLAT:$SG3144 
r8d, 29 


_wassert 


rcx, OFFSET FLAT:month1 
rax, QWORD PTR [rcx+rbx*8] 
rsp, 32 

rbx 

0 


get month1 checked ENDP 


't', 00H, 


't', OOH, 


'h', 00H, '.', OOH 


'h', OOH, '«', OOH 


実際 、assert() は 関数 で は な く マ クロ で す 。 条件 を チェ ッ ク し 、 行 数 と ファ イル 名 を 他 の 
関数 に 渡し て ユー ザ に 情報 を 報告 し ます 。 


ファ イル 名 と 条件 の 両方 が UTF-16 で エン コー ド さ れ て いま す 。 行 数 も 渡さ れ ま す (29 で 


す )。 


この メカ ニズム は お そら くす べ て の コン パイ ラ で 同じ で す 。GCC は この よう に し ます 。 
Listing 1.240: 最適 化 GCC 4.9 x64 


.LC1 : 

.string 
.LC2: 

.string 


"month.c" 


"month<12" 


get month1 checked: 


cmp 
jg 
movsx 
mov 
ret 


edi, 11 
.L6 
rdi, edi 


rax, QWORD PTR month1[0+rd1 ま 8 ] 
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.L6: 
push rax 
mov ecx, OFFSET FLAT: PRETTY FUNCTION _.2423 
mov edx, 29 
mov esi, OFFSET FLAT: .LC1 
mov edi, OFFSET FLAT: .LC2 
call . assert fail 


. PRETTY FUNCTION .2423: 
.string "get monthl checked" 


GCC の マク ロ は 利便 性 の た め に 関数 名 も 渡し ます 。 
何事 も た だ で は で きま せん が 、 サ ニタ イズ チェ ッ ク も これ と 同様 で す 。 


それ は プロ グラ ム を 遅く し ます が 、 特 に assert() マク ロ が 小さ な タイ ムク リティ カル な 関 
数 で 使用 され る と 遅く な り ま す 。 


な の で MSVC で は 、 例 えば デバ ッ グ ビル ド で は チェ ッ ク を 残し 、 リ リー ス ビ ルド で は 取り 
除い た り し ます 。 


マイ クロ ソフ ト Windows NT カー ネル は 「 チ ェ ッ ク さ れ た 」 と 「 フ リー」 ビ ルド で す 。131. 


最初 の も の は 妥当 性 チェ ッ ク (「 チ ェ ッ ク さ れ た 」 な の で ) が あり 、 も う 一 つ は チェ ッ ク し 
て いま せん (チェ ッ ク が 「 フ リー」 な の で )。 


も ちろ ん 、「 チ ェ ッ ク さ れ た 」 カ ー ネ ル は これ ら の チェ ッ ク の た め に 遅く 動作 する の で 、 通 
常 は デバ ッ グ セッ ショ ン で の み 使 用 され ます 。 

特定 の 文字 へ の アク セス 

文字 列 へ の ポイ ンタ の 配列 は この よう に アク セス で きま す 。 


#include <stdio.h> 


const char* month[]= 


1 
"January", "February", "March", "April", 
"May", "June", "July", "August", 
"September", "October", "November", "December" 
}; 
int main() 
{ 
// 4 番目 の 月 、5 番 目 の character 
printf ("%с\п", month[3][4]); 
}; 


...month[3] 式 は const chart 型 を も つの で 、5 番 目 の 文字 列 は この アド レス に 4 バイ ト を 
足し た 式 か ら 取 得 し ます 。 


ST. main?) 関数 に 渡さ れ た 引数 リス ト は 同じ デー タ 型 を 持ち ます 。 


131msdn.microsoft.com/en-us/library/windows/hardware/ff543450(v=vs.85).asDx 
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#include <stdio.h> 


int main(int argc, char *argv[]) 


{ 
}; 


printf ("第 3 引数 , 2 番目 の character: %c\n", argv[3][1]); 


似 た 構文 で す が 、2 次 元 配列 と は 異な る こと を 理解 する こと が 非常 に 重要 で す 。 こ れ に つ 
いて は 後 で 検討 し ます 。 


も う 1 つ の 重要 な こと に 注意 し て くだ さい 。 アド レス 指定 され る 文字 列 は 、 各 文字 
が ASCII32 や 拡張 ASCII の よう に 1 バイ ト を 占め る シス テム で エン コー ド さ れ な けれ ば 
な り ま せん 。UTF-8 は ここ で は 動作 し ませ ん 。 


第 1.20.6 節 多 次 元 配 列 
内 部 的 に は 、 多 次 元 配 列 は 本 質 的 に は 一 次 元 の 配列 と 同じ で す 。 


コン ピュ ー タ メモ リ は 一 次 元 な の で 、 メ モリ は 一 次 元 配列 で す 。 便宜 上 、 多 次 元 配 列 は 一 
次 元 と し て 表現 可能 で す 。 


例え ば 、3x4 の 配列 の 要素 が 12 の セル の 1 次 元 配 列 に どの よう に 配置 され る か を 示し ます 。 


Offset in memory | array element 
[0][0] 


ロロ | (O| о の | OT) BY) UJ N| | O 
ка 
= 


0 [2][2] 
1 


表 1.3: 1 次 元 配 列 と し て メモ リ 上 で 表現 され る 2 次 元 配列 


3*4 配 列 の 各 セ ル が メモ リ 上 で どう 配置 され る か を 示し ます 。 


0|1|2 3 
41516 7 
8 |9 10 11 


ж 1.4: 2 次 元 配 列 の 各 セ ル の メモ リア ドレ ス 


132American Standard Code for Information Interchange 
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し た が っ て 、 必 要 な 要素 の アド レス を 計算 する に は 、 ま ず 最 初 の イン デック ス に 4 (配列 
の 幅 ) を 掛け て か ら 2 番目 の イン デック ス を 追加 し ます 。 こ れ は 行 優先 順位 と 呼ば れ 、 配列 
と 行列 表現 の この 方 法 は 、 少 な く と も C/C++ と Python で 使用 され ます 。 単 純 な 英 単語 の 
行 優先 順位 は 、「 最 初 に 、 最 初 の 行 の 要素 を 書き 、 次 に 2 番目 の 行 .… 最 後に 最後 の 行 の 要素 
を 書き 込む 」 と いう 意味 で す 。 
表現 の も う 1 つ の 方 法 は 、 列 優先 順位 (配列 の 添字 は 逆順 で 使用 され ます ) と 呼ば れ 、 少 な 
く と も Fortran、MATLAB、 お よび R で 使用 され ます 。 列 優先 順位 は 、 単 純 な 英語 で は 、「 最 
初 に 、 最 初 の 列 の 要素 を 書き 込み 、 次 に 2 番目 の 列 を .※…… 最 後に 最後 の 列 の 要素 を 書き 込む 」 
と な り ま す 。 
どの 方 法 が 良い で し ょ うか ? 
一 般 に 、 パ フォ ー マ ン ス と キャ ッシュ メモ リ の 観点 か ら は 、 デ ー タ 編成 の た め の 最 良 の 方 
法 は 、 要 素 が 順次 アク セス され る 方 法 で す 。 
し た が っ て 、 関 数 が 行 ご と に デー タ に アク セス する 場合 は 、 行 優先 順位 が 優れ て いて 、 逆 
も また 同様 で す 。 


2 次 元 配列 の 例 

char 型 の 配列 で 作業 し て いき ます 。 こ れ は 、 各 要素 が メモ リ 上 に 1 バイ ト し か 必要 な いこ 
と を 意味 し ます 。 

行 を 埋め る 例 


2 行 目 を 0 て 3 の 値 で 埋め て み ま し ょ う 。 
Listing 1.241: 行 を 埋め る 例 


#include <stdio.h> 
char а[3][4]; 


int main() 


{ 


int x, y; 


// 配列 の クリ ア 
for (x=0; x<3; X++) 
for (y=0; y<4; y++) 
a[x][y]=0; 


// 2 番目 の 行 を 0..3 で 満た す 
for (y=0; y<4; у++) 
a[1][y]=y: 


H 


3 つの 行 は すべ て 赤 で マー ク し て あり ます 。 2 行 目 は 0,1.2 と 3 の 値 を 持っ て いま す 。 


Aa ma BB 
Tz 


Ba Be dd 

ий Ba 
ай 
aa 

ma aa Ва йй GE 


[2[5] 


айа айа 86) 68 йй ВЯ ВВ ВВ йй 


1.92: OllyDbg: 配列 が 埋め られ る 
列 を 埋め る 例 


3 列 目 を 値 0 て 2 で 埋め て み ま し ょ う 。 
Listing 1.242: 列 を 埋め る 例 
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#include <stdio.h> 
char a[3][4]; 


int main() 
{ 


int x, у; 


// 配列 の クリ ア 
for (x=0; x<3; X++) 
for (y=0; y<4; y++) 
a[x][y]=0; 


// 3 番目 の カラ ム を 0. .2 で 満た す 
for (x=0; x<3; X++) 
a[x] [2]=x: 


}; 


3 つの 行 は ここ で も 赤 で マー ク し て あり ます 。 
各行 の 3 番目 の 値 が 0,1 と 2 で 書か れ て いま す 。 


йг ua йй ва 


ай ай ロロ ва 
Ba aa ва ва йй aa ва ва ва pü ва ва 
Ba ай ва ва ва ва ва ва ва ва ва ва 


1.93: OllyDbg: 配列 が 埋め られ る 


2 次 元 配列 を 1 次 元 配 列 と し て アク セス する 


少な く と も 2 つの 方 法 で 、2 次 元 配列 を 1 次 元 配列 と し て アク セス する こと が 可能 だ と いえ 


ます 。 


#include <stdio.h> 
char a[3][4]; 


char get by coordinates1 (char array[3][4], int a, int b) 
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í 
}; 


return аггау[а] [6]; 


char get by coordinates2 (char *array, int a, int b) 


// 入力 され た 配列 を 1 次 元 と し て 扱う 
// 4 は 配列 の 幅 
return array[a*4+b]; 

}; 


char get by coordinates3 (char *array, int a, int b) 


// 入力 され た 配列 を ポイ ンタ と し て 扱う 
// アド レス を 計算 し 、 値 を 得る 

// 4 は 配列 の 幅 

return *(array+a*4+b); 


}; 
int main() 
{ 
a[2][3]=123; 
printf ("%d\n", get by coordinates1(a, 2, 3)); 
printf ("%d\n", get by coordinates2(a, 2, 3)); 
printf ("%d\n", get by coordinates3(a, 2, 3)); 
}; 


コン パイ ル し て 実行 し て くだ さい 。133 正しい 値 を 表示 し ます 。 
MSVC 2013 の 結果 は 興味 部 会 で す 。3 つ の ルー チン は すべ て 同じ で す ! 
Listing 1.243: 最適 化 MSVC 2013 x64 


array$ = 8 
a$ = 16 
b$ = 24 


get by coordinates3 PROC 
; RCX= 配 列 の アド レス 


; RDX=a 
; R8=b 

movsxd rax, r8d 
; EAX=b 

movsxd r9, edx 
; R9=a 

add rax, rcx 


RAX=b+ 配 列 の アド レス 
movzx eax, BYTE PTR [rax+r9*4 ] 
; AL= RAX+R9*4 ア ドレ ス の バイ ト を ロー ド = b+ 配 列 +a ま 4 の アド レス = 配列 +a*4+rb の アド レス 
ret 0 
get_by_coordinates3 ENDP 


array$ = 8 


133 プ ログ ラム は C++ で は な く 、C プ ログ ラム と し て コン パイ ル さ れ ま す 。.c 拡 張子 で ファ イル を 保存 し て MSVC で 
コン パイ ル し ます 
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a$ 16 

b$ = 24 

get_by_coordinates2 PROC 
movsxd гах, r8d 
movsxd r9, edx 


add rax, rcx 
movzx eax, BYTE PTR [rax+r9*4] 
ret 0 


get by coordinates2 ENDP 


array$ = 8 
a$ - 16 
b$ = 24 


get by coordinates1 PROC 
movsxd rax, r8d 
movsxd r9, edx 


add rax, rcx 
movzx eax, BYTE PTR [rax+r9*4] 
ret 0 


get by coordinates1 ENDP 


GCC も 同じ ルー チン を 生成 し ます が 、 少 し 異な り ま す 。 
Listing 1.244: 最適 化 GCC 4.9 x64 


; RDI= 配 列 の アド レス 


get by coordinates1: 

; 32 ビ ッ ト int 値 の "a" と "b" を 64 ビ ッ ト の 符号 付き int に 拡張 
movsx rsi, esi 
movsx rdx, edx 
lea rax, [rdi+rsi*4] 

; RAX=RDT+RS1*4= 配 列 の アド レス +a*4 
movzx eax, BYTE PTR [rax+rdx] 

; AL=RAX+TRDX ア ドレ ス の バイ ト を ロー ド = 配 列 の アド レス +a*4+b 
ret 


get by coordinates2: 


lea eax, [rdx+rsi*4] 
; RAX=RDX+RSI*4=b+a*4 
cdqe 


movzx eax, BYTE PTR [rdi+rax] 
; AL=RDT+RAX ア ドレ ス の バイ ト を ロー ド = 配 列 の アド レス +b+a*4 
ret 


get by coordinates3: 
sal esi, 2 
; ESI=a<<2=a*4 
; 32 ビ ッ ト int 値 の "a*4" と "b" を 64 ビ ッ ト の 符号 付き int に 拡張 
movsx rdx, edx 
movsx rsi, esi 
add rdi, rsi 
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; RDT=RDI+RS1= 配 列 の アド レス +a* ま 4 
movzx eax, BYTE PTR [rdi+rdx] 

; AL=RDT+RDX ア ドレ ス の バイ ト を ロー ド = 配 列 の アド レス +a*4+b 
ret 


3 次 元 配列 の 例 

多 次 元 配 列 で も 同じ で す 。 

int 型 の 配列 で 作業 し て いき ます 。 各 要素 は メモ リ 上 で 4 バイ ト 必 要 と し ます 。 
見 て み ま し ょ う 。 


Listing 1.245: 単純 な 例 


#include <stdio.h> 
int a[10][20] [30]; 


void insert(int x, int y, int z, int value) 


{ 
}; 


a[x] [y] [z]=value; 


x86 


MSVC 2010 の 結果 
Listing 1.246: MSVC 2010 


DATA SEGMENT 

COMM . a:DWORD : 01770H 
DATA ENDS 

PUBLIC insert 

_ TEXT SEGMENT 


x$ 28 ; Size = 4 
y$ = 12 ; Size = 4 
_z$ = 16 ; size = 4 
_value$ = 20 ; size = 4 
_insert PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _x$[ebp] 
imul eax, 2400 ; eax-600*4*x 
mov ecx, DWORD PTR y$[ebp] 
imul ecx, 120 ; ecx=30*4*y 
lea edx, DWORD PTR _а[еах+есх] ; edx=a + 600*4*x + 30*4*y 


mov eax, DWORD PTR _z$[ebp] 

mov ecx, DWORD PTR _value$[ebp] 

mov DWORD PTR [edx+eax*4], ecx ; *(edx+Z*4 ) = 値 
pop ebp 

ret 0 
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_insert ENDP 
_ TEXT ENDS 


特別 な が こと は あり ませ ん 。 イ ン デ ックス の 計算 で は 、 式 address = 600-4-x+30-4-y+4z 
で は 3 つの 入力 引数 が 使用 され 、 配 列 を 多 次 元 と し て 表現 し て いま す 。 int 型 は 32 ビ ッ ト 
(4 バイ ト ) な の で 、 係 数 は 4 倍 す る 必要 が ある こと を 忘れ な いで くだ さい 。 


Listing 1.247: GCC 4.4.1 


public insert 
insert proc near 


x = dword ptr 8 
y = dword ptr 0Ch 
2 = dword ptr 10h 
value = dword ptr 14h 
push ebp 
mov ebp, esp 
push ebx 
mov ebx, [ebp+x] 
mov eax, [ebp+y] 
mov ecx, [ebp+z] 
lea edx, [eax+eax] ; edx=y*2 
mov eax, edx ; еах=у*2 
shl eax, 4 ; eax=(y*2)<<4 = y*2*16 = y*32 
sub eax, edx ; eax=y*32 - y*2=y*30 
imul edx, ebx, 600 ; edx=x*600 
add eax, edx ; eax=eax+edx=y*30 + x*600 
lea edx, [eax+ecx] ; edx=y*30 + x*600 + z 
mov eax, [ebp+value] 
mov dword ptr ds:a[edx*4], eax ; *(a+edx*4)=value 
pop ebx 
pop ebp 
retn 


insert endp 


GCC コン パイ ラ は 異な り ま す 。 


計算 で の 演算 に お いて (30y)、GCC は 乗算 命令 を 使わ なかい コー ド を 生成 し ます 。 こ の よう 
に し ます 。 (yy) «4- (y y) = (2у)<4-2у=2.16-у—-2у = 32y - 2y = 30y. fi£ С. 30y 
の 計算 に は 、 加 算命 令 が 1 つ だ け で す 。 ビ ッ ト シ フト 演算 と 減算 が 使用 され ます 。 こ れ は よ 
り 高 速 で す 。 


ARM + 非 最適 化 Xcode 4.6.3 (LLVM) (Thumb モ ー ド ) 


Listing 1.248: 非 最適 化 Xcode 4.6.3 (LLVM) (Thumb モ ー ド ) 


_insert 


-0x10 
- 0xC 


value 
2 
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-8 
-4 


: 1nt 型 変数 4 つ 分 の ロー カル スタ ッ ク の 場所 を 確保 


SUB 
MOV 
ADD 
LDR.W 
STR 
STR 
STR 
STR 
LDR 
LDR 
LDR 
LDR 
MOV 
MUL.W 
ADD 
MOV 
MUL.W 
ADD 
LSLS 
ADD 
STR 


SP, SP, #0x10 

R9, OxFC2 ; a 

R9, PC 

R9, [R9] ; 配列 へ の ポイ ンタ を 取得 
RO, [SP,#0x10+x] 

R1, [SP,#0x10+y] 

R2, [SP,#0x10+z] 

R3, [SP,#0x10+value] 
RO, [SP,#0x10+vaLlue] 
R1, [SP,#0x10+z] 

R2, [SP,#0x10+y] 

R3, [SP,#0x10+x] 
R12, 2400 


[Сә] 


R1, R1, #2 ; R1=R1<<2 
R1, R2 
RO, [R1] ; Rl - 配列 要素 の アド レス 


; int 型 変数 4 つ 分 の ロー カル スタ ッ ク の チャ ンク を 開放 


ADD 
BX 


SP, SP, #0x10 
LR 


非 最 適 化 LILVM は 変数 すべ て を ロー カル スタ ッ ク に 保存 し ます が 、 冗 長 で す 。 
配列 の 要素 の アド レス は すでに 見 た 式 に よっ て 計算 され ます 。 


ARM + 最適 化 Xcode 4.6.3 (LLVM) (Thumb モ ー ド ) 


Listing 1.249: 最適 化 Xcode 4.6.3 (LLVM) (Thumb モ ー ド ) 


_insert 

MOVW R9, #0x10FC 

MOV.W R12, #2400 

MOVT.W R9, #0 

RSB.W RI, R1, R1,LSL#4 ; R1 - y. Rl=y<<4 - у = y*16 - y = у*15 

ADD R9, PC 

LDR.W R9, [R9] ; R9 = 配列 へ の ポイ ンタ 

MLA.W RO, RO, R12, R9 ; RO - x, R12 - 2400, R9 - a へ の ポイ ンタ 。R0=x*2466 + 
a へ の ポイ ンタ 

ADD.W RO, RO, R1,LSL#3 ; RO = RO+R1<<3 = RO+R1*8 = x*2400 + a へ の ポイ ンタ + 

*15*8 = 

j ; a へ の ポイ ンタ + y*30*4 + x*600*4 

STR.W АЗ, [RO,R2,LSL#2] ; R2 - z, R3 - 値 。address=RO+zZ*4 = 


BX 


; a へ の ポイ ンタ + y*30*4 + x*600*4 + z*4 
LR 
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既に 見 た シフ ト 、 加 減算 に よる 乗算 を 置き 換え る た め の ト リッ ク も ここ に あり ます 。 


新しい 命令 を 見 て み ま す : RSB (Reverse Subtract) 


単純 に SUB と し て 機能 し ます が 、 実 行 前 に オペ ラン ド を スワ ッ プ し ます 。 な ぜ で し ょ う ? 
SUB お よび RSB は 、 シ フト 係数 が 適用 され る 第 2 の オペ ラン ド (LSL#4 ) へ の 命令 で す 。 


た だ し 、 こ の 係数 は 第 2 オペ ラン ド に の み 適 用 され ます 。 


これ は 、 加 人 算 や 乗算 の よう な 可 換 的 な (交換 可能 な ) 演算 の 場合 は 問題 あり ませ ん 。( 結 果 
を 変更 せ ず に オペ ラン ド を 入れ 替え て も か まい ませ ん ) 


し か し 、 減 算 は 非 可 換 的 な 演算 な の で 、RSB が 存在 し ます 。 


MIPS 


私 の 例 は と て も 小さ い の で 、GCC コ ン パ イラ は グロ ー バ ルポ イン タ に よっ て アド レス 可能 
な 64KiB 領 域 に 配列 を 配置 する こと に 決め まし た 。 


Listing 1.250: 最適 化 GCC 4.4.5 (IDA) 


insert: 
; $a0=x 
; $al=y 
; $a2=z 
; $a3=value 
sll $v0, $a0, 5 
; VO = $a0<<5 = x*32 
sll $a0, 3 


; $a0 = $a0<<3 = x*8 
addu фаб, $v0 
; $a0 = $a04$v0 = х*8+х*32 = x*40 


sll $vl, $a1, 5 
; $v1 = $а1<<5 = y*32 

sll $v0, $a0, 4 
; $V0 = $a0««4 = x*40*16 = x*640 

sll $al, 1 


; $al = $al««1 = y*2 
subu $al, $vl, $al 
; $а1 = $vl-$al = y*32-y*2 = y*30 
subu $a0, $v0, $a0 
; $a0 = $v0-$a0 = x*640-x*40 = x*600 
la $gp, _ gnu local gp 
addu $a0, $al, $a0 
; $a0 = $al+$a0 = y*30+x*600 
addu $a0, $a2 
; $a0 = $a0+$a2 = y*30+x*600+z 
; テー ブル の アド レス を ロー ド 


tw $v0, (a & OxFFFF ) ($gp) 
; イン デック ス を 4 倍 し て 配列 要素 を 検索 
sll $a0, 2 


; 掛け 算 し た イン デック ス と テー ブル アド レス を 足し 合わ せる 
addu фаб, $v0, $a0 
: 値 を テー ブル に 保存 し リタ ー ン 
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jr $ra 
SW $a3, 0($a0) 


.comm a:0x1770 


More examples 


コン ピュ ー タ 画面 は 2D 配 列 と し て 表現 され ます が 、 ビ デオ バッ ファ は 1 次 元 配列 で す 。 Z 
れ に つい て は こち ら で : ?? on page ?? 


本 書 で の 他 の 例 と し て は マイ ンス イー パー ゲー ム が あり ます 。 そ の フィ ー ル ド は 2 次 元 配 
列 で す :?? on page ?? 


第 1.20.7 節 2 次 元 配 列 と し て の 文字 列 の パッ ク 
月 の 名 前 を 返す 関数 を 再考 し て み ま し ょ う : リス ト 1.229 


月 の 名 前 の 文字 列 へ の ポイ ンタ を 準備 する に は 少な く と も メモ リロ ー ド 演算 が 1 つ 必 要 で 
す 。 


メモ リロ ー ド 演算 を 取り 除く こと は 可能 で し ょ うか ? 
実際 で きま す 。 文字 列 の リス ト を 2 次 元 配列 と し て 表現 すれ ば 。 


#include <stdio.h> 
#include <assert.h> 


const char month2 [12] [10]= 


{ 
{ '2','а','п','и','а','г','у', 0, 0, 0}, 
{ 'F','e','b','r','u','a','r','y', 0, 0}, 
í 'M','a','r','c','h', 0, 0, 0, 0, 0}, 
{ 'A','p','r','i','l', 0, 0, 0, 0, O}, 
{ 'M','a','y', 0, 0, 0, ©, 0, 0, O}, 
{ 'J','u','n','e', 0, 0, 0, 0, 0, 0}, 
{ 'J','u','l','y', 0, 0, ©, 0, 0, O}, 
í 'A','u','g','u','s','t', 0, 0, 0, 0}, 
{ 'S','e','p','t','e','m','b','e','r', 0}, 
í 'O','c','t','o','b','e','r', 0, 0, 0}, 
{ 'N','o','v',‘e','m','b',‘e','r', 0, 0}, 
{ 'D','e','c','e','m','b','e','r', 0, 0} 

}; 


// 6 一 11 の 範囲 で 
const char* get month2 (int month) 


{ 
}; 


return &month2[month] [0]; 


この よう な 結果 を 得 まし た 。 
Listing 1.251: 最適 化 MSVC 2013 x64 
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month2 DB 04aH 
DB 061H 
DB 06eH 
DB 075H 
DB 061H 
DB 072H 
DB 079H 
DB 00H 
DB 00H 
DB QOH 


get_month2 PROC 
; 符号 拡張 され た 入力 引数 を 64 ビ ッ ト 値 に 

movsxd rax, ecx 

lea rcx, QWORD PTR [rax+rax*4] 
; RCX=month+month*4=month*5 

lea rax, OFFSET FLAT:month2 
; RAX= テ ー ブ ル へ の ポイ ンタ 

tea rax, QWORD PTR [rax+rcx*2] 
; RAX= テ ー ブ ル へ の ポイ ンタ + RCX*2= テ ー ブ ル へ の ポイ ンタ + month*5*2= テ ー ブ ル へ の ポイ 

ンタ + month*10 

ret 0 

get month2 ENDP 


メモ リア クセ ス は 全く あり ませ ん 。 


この 関数 で や っ て いる こと は 、 月 の 名 前 の 最初 の 文字 の ポイ ンタ を 計算 する こと で す : 
pointer to the table + month * 10. 


LEA 命令 も 2 つ あ り ま す 。 い くつ か の MUL と MOV 命令 と し て 機能 し ます 。 
配列 の 幅 は 10 バ イト で す 。 


実際 、 こ こ で の 最も 長い 文字 列 、「September」l、 は 9 バイ ト で 、 加 えて 0 終端 し て 10 バ イト 
で す 。 


月 の 名 前 の 残り は ゼロ で 埋め られ て 、 月 の 名 前 は 同じ 領域 (10 バ イト ) を 占有 し ます 。 
従っ て 、 関 数 は より 早く 機能 し ます 。 文 字 列 の 開始 アド レス が 簡単 に 計算 で きる た めで す 。 
最適 化 GCC 4.9 は より 短く な り ま す 。 


Listing 1.252: 最適 化 GCC 4.9 x64 


movsx rdi, edi 


lea rax, [rdi+rdi*4] 
lea rax, month2[rax+rax] 
ret 


LEA は 10 倍 する た め に ここ で も 使用 され ます 。 
最適 化 さ れ て いな い コ ン パ イラ は 、 異 な る 方 法 で 乗算 を 行い ます 。 
Listing 1.253: 非 最 適 化 GCC 4.9 x64 


| get_month2: 
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RDX 


RAX 


RAX 


RAX 


RAX 


RAX 


push rbp 

mov rbp, rsp 

mov DWORD PTR [rbp-4], edi 
mov eax, DWORD PTR [rbp-4] 


movsx rdx, eax 
符号 拡張 され た 入力 値 


mov rax, rdx 

month 

sal rax, 2 

month<<2 = month*4 

add rax, rdx 

RAX+RDX = month*4+month = month*5 
add rax, rax 

RAX*2 = month*5*2 = month*10 
add rax, OFFSET FLAT:month2 
month*10 + テー ブル へ の ポイ ンタ 
pop rbp 

ret 


非 最 適 化 MSVC は 単に IMUL 命令 を 使用 し ます 。 


Listing 1.254: 非 最適 化 MSVC 2013 x64 


month$ = 8 
get month2 PROC 


, 


RAX 


RAX 


RCX 


RCX 


RAX 


RCX 


RCX 


; RAX 


mov DWORD РТА [rsp+8], есх 
movsxd rax, DWORD PTR month$[rsp] 
符号 拡張 され た 入力 値 を 64 ビ ッ ト 値 に 


imul rax, rax, 10 

RAX*10 

lea rcx, OFFSET FLAT: month2 
テー ブル へ の ポイ ンタ 

add rcx, rax 

RCX+RAX = テー ブル へ の ポイ ンタ +month*10 
mov rax, rcx 

テー ブル へ の ポイ ンタ +month*10 
mov ecx, 1 

1 

imul rcx, rcx, 0 

1*0 = 0 

add rax, rcx 


テー ブル へ の ポイ ンタ -month*10 + 0 = テー ブル へ の ポイ ンタ +month*10 


ret 0 


get month2 ENDP 


し か し 、 奇 妙 な こと が 1 つ あ り ま す 。 な ぜ 、0 で 乗算 し 、 最 終結 果 に 0 を 加算 する の で し ょ 


うか ? 


これ は コン パイ ラ の コー ドジ ェ ネ レー タ の 癖 の よう に 見 えま す が 、 コ ン パ イラ の テス ト で 
は 検出 され ませ ん で し た 。( 結 局 の と ころ 、 結 果 の コー ド は 正しく 動作 し ます ) この よう な 
コー ド を 意図 的 に 検討 する こと で 、 読 者 が その よう な コン パイ ジラ 成果 物 に 困惑 すべ き で な 
いと き が ある こと を 理解 する で し ょ う 。 
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32 ビ ッ ト ARM 
最適 化 Keil Thumb モ ー ド で は 、 乗 算命 令 MULS を 使用 し ます 。 
Listing 1.255: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


; RO = month 
MOVS г1,#0ха 
; А1 = 10 
MULS ro,r1,r0 
; RO = R1*RO = 10*month 
LDR r1,|LO.68| 
; R1 = テー ブル へ の ポイ ンタ 
ADDS r0,r0,r1 
; RO = RO+R1 = 10*month + テー ブル へ の ポイ ンタ 
BX tr 


ARM モ ー ド で の 最適 化 Keil は 加算 と シフ ト 命 令 を 使用 し ます 。 
Listing 1.256: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


; RO = month 

LDR r1,|LO.104| 
; RL = テー ブル へ の ポイ ンタ 

ADD r0,r0,r0,LSL #2 
; RO = RO+RO<<2 = RO+RO*4 = month*5 

ADD r0,r1,r0,LSL #1 
; RO = R1+RO<<2 = テー ブル へ の ポイ ンタ + month*5*2 = テー ブル へ の ポイ ンタ + 

month*10 

BX tr 

ARM64 
Listing 1.257: 最適 化 GCC 4.9 ARM64 

; WO = month 

sxtw x0, м0 


; XO = 符号 拡張 され た 入力 値 
adrp X1, .LANCHOR1 


add х1, x1, :1012:.LANCHOR1 
; X1 = テー ブル へ の ポイ ンタ 
add х0, x0, x0, 1512 
; ХӨ = Х0+Х0<<2 = X0+X0*4 = X0*5 
add x0, x1, x0, 151 1 
; ХӨ = Х1+Х0<<1 = X1+X0*2 = テー ブル へ の ポイ ンタ + X0*10 
ret 


SXTW は 32 ビ ッ ト 入 力 値 を 64 ビ ッ ト に し 、X0 に 保存 する 、 符 号 拡張 の た め に 使用 され ます 。 
ADRP/ADD の 命令 の 組 は テー ブル の アド レス を ロー ド す る た め に 使用 され ます 。 
ADD 命令 に は 乗算 に 役立つ LSL サフ ィ ッ クス も あり ます 。 
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MIPS 
Listing 1.258: 最適 化 GCC 4.4.5 (IDA) 
.globl get month2 
get month2: 
; $a0=month 


511 $v0, $a0, 3 


; $vO = $a0<<3 = month*8 


sll $a0, 1 


; $a0 = $a0<<1 = month*2 


addu фаб, $у0 


; $а0 = month*2+month*8 = month*10 
; テー ブル へ の アド レス を ロー ド 


ta $v0, month2 


; テー ブル アド レス と 計算 し た イン デック ス を 足し 合わ せ て リタ ー ン 


jr $ra 
addu $v0, $а0 


month2: .ascii "January"<0> 
.byte 0, 0 

aFebruary: .ascii "February"<0> 
.byte 0 

aMarch: „ascii "March "<0> 
.byte 0, 0, 0, 0 

aApril: .ascii "Аргі1"<0> 
.byte 0, 0, 0, 0 

aMay: .ascii "May "<0> 
.byte 0, 0, 0, 0, 0, 0 

aJune: .ascii "Јипе"<0> 
.byte 0, 0, 0, 0, 0 

aJuly: .ascii "July"<0> 
.byte 0, 0, 0, 0, 0 

aAugust: .ascii "August"«0» 
.byte 0, 0, 0 

aSeptember: .ascii "September"<0> 

a0ctober: .ascii "October"<0> 
.byte 0, 0 

aNovember : .ascii "November"<0> 
.byte 0 

aDecember: .ascii "December"<0> 
.byte 0, 0, 0, 0, 0, 0, 0, 0, O 

結論 


これ は テキ スト 文字 列 を 保存 する た め の 昔 な が ら の 技術 で す 。 あな た は 、 た と えば 、 Oracle 
RDBMS で それ を 見 つけ る こと が で きま す 。 現代 の コン ピュ ー タ で 実行 する 価値 が ある か 
どう か は 言い 難い で す が 、 配 列 の 良い 例 で ある た め 、 こ の 本 に 追加 され まし た 。 

第 1.20.8 節 結論 

配列 は 、 隣 り 合 っ て 配置 され た メモ リ 内 の 値 の 束 で す 。 
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構造 体 を 含む あら ゆる 有 要素 種別 に 当て は まり ます 。 
特定 の 配列 要素 へ の アク セス は 、 そ の アド レス の 計算 に 過ぎ ませ ん 。 


し た が っ て 、 最 初 の 要素 の 配列 と アド レス へ の ポイ ンタ は 同じ こと で す 。 こ の た め 、ptr[6] 
と *ptr の 式 は С/С++ で 同等 で す 。Hex-Rays は し ば し ば 最初 の も の を 2 番目 の も の に 置 
き 換 える こと は 興味 深い こと で す 。 これ は 、 配 列 全体 へ の ポイ ンタ で 動作 する か どう か わ 
か ら な いと き に 行い 、 こ れ が 単 一 変数 べ へ の ポイ ンタ で ある と 考え ます 。 


第 1.20.9 節 練習 問題 
• http://challenges. re/62 
• http://challenges. re/63 
* http://challenges.re/64 


* http://challenges.re/65 
* http://challenges.re/66 


第 1.21 節 特定 の ビッ ト を 操作 する 


多く の 関数 で は 、 入 力 引 数 を ビッ ト フ ィ ー ル ド の フラ グ と し て 定義 し ます 。 
も ちろ ん 、 それら を bool 型 の 変数 の 組 に 置換 する こと は 可能 で す が 、 効 率 的 で は あり ま 


せん 。 

第 1.21.1 節 特定 の ビッ トチ ェ ッ ク 
x86 

Win32 API の 例 で す 。 


HANDLE fh; 


fh=CreateFile ("file", GENERIC WRITE | GENERIC READ, 7 
s FILE SHARE READ, NULL, OPEN ALWAYS, FILE ATTRIBUTE NORMAL, NULL); 


次 の 結果 を 得 ま す 。(MSVC 2010) 
Listing 1.259: MSVC 2010 


push 0 
push 128 ; 00000080H 
push 4 
push 0 
push 1 
push -1073741824 ; C0000000H 


push OFFSET $5678813 
call DWORD РТА imp  CreateFileA@28 
mov DWORD PTR fh$[ebp], eax 
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WinNTIh を 見 て み ま し ょ う 。 
Listing 1.260: WinNT.h 


#define GENERIC READ (0x80000000L) 
#define GENERIC WRITE (0x40000000L) 
#define GENERIC EXECUTE (0x20000000L) 
#define GENERIC ALL (0x10000000L) 


すべ て が クリ ア で す 。 GENERIC_READ | GENERIC WRITE = 0x80000000 | 0x40000000 
= 0xC0000000 で 、 こ の 値 が CreateFite( ) “4 関数 へ の 2 番目 の 引数 と し て 使用 され て い 


° 


CreateFile() は これ ら の フラ グ を どの よう に チェ ッ ク し て いる で し ょ うか ? 


Windows XP SP3 x86 の KERNEL32.DLL を 見 て みる と 、 私 た ち は こ の コー ド の 断片 を 
CreateFitLew で 見 つけ ます 。 


Listing 1.261: KERNEL32.DLL (Windows XP SP3 x86) 


.text:7C83D429 test byte ptr [ebp+dwDesiredAccess+3], 40h 
. text: 7C83D42D mov [ebp+var_8], 1 

. text: 7C83D434 jz short loc 7C83D417 

. text: 7C83D436 jmp loc 7C810817 


ここ で は 、TEST 命令 を 参照 し て いま す が 、 第 2 引数 全体 を 取る の で は な く 、 最 上 位 バ イト 
(ebp+dwDesiredAccess+3) の み を 取り 出し 、 フ ラグ 0x40 (ここ で は GENERIC WRITE 
フラ グ を 意味 し ます ) を チェ ッ ク し ます 。 


TEST は 基本 的 に AND と 同じ 命令 で す が 、 結 果 を 保存 する こと は あり ませ ん (СМР は SUB 
と 同じ で す が 、 結果 を 保存 し な いこ と を 思い 出し て くだ さい (1.9.4 on page 109))。 


この コー ドラ フラ ラグ メン ト の ロジ ッ ク は 次 の と お り で す 。 


if ((dwDesiredAccess&0x40000000) == 0) goto loc 7C83D417 


AND 命令 が この ビッ ト を 離れ る と 、ZF フラ グ は クリ ア さ れ 、JZ 条件 ジャ ンプ は 実行 され 
ませ ん 。 条件 ジャ ンプ は 、dwDesiredAccess 変数 に 0x40000000 UE ビッ ト が 存在 し な い 場 
合 に の み 実 行 さ れ ま す 。AND の 結果 は 0 で あり 、ZF が 設定 され 、 条 件 付き ジャ ンプ が 実行 
され ます 。 


GCC 4.4.1 と Linux で 試し て み ま し ょ う 。 


#include <stdio.h> 
#include <fcntl.h> 


void main() 


{ 


int handle; 


handle=open ("file", 0 RDWR | 0 CREAT); 
}; 


134msdn.microsoft.com/en-us/library/aa363858(VS.85).aspx 


371 


次 の 結果 を 得 ます 。 
Listing 1.262: GCC 4.4.1 


public main 


main proc near 
var 20 = dword ptr -20h 
var 1C = dword ptr -1Ch 
var 4 - dword ptr -4 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 20h 
mov [esp+20h+var 1C], 42h 
mov [esp+20h+var 20], offset aFile ; "file" 
call open 
mov [esp+20h+var 4], eax 
leave 
retn 
main endp 


libc.so.6 ライ ブラ リ の open() 関数 を 見 て みる と 、 そ れ は 単なる シス テム コー ル で す 。 
Listing 1.263: open() (Iibc.so.6) 


. text : 000BE69B mov edx, [esp+4+mode] ; mode 

. text : OOOBE69F mov ecx, [esp+4+flags] ; flags 

. text : 000ВЕбАЗ mov ebx, [esp+4+filename] ; filename 
.text:000BE6A7 mov eax, 5 

.text:000BE6AC int 80h ; LINUX - sys open 


し た が っ て 、open( ) の ビッ ト フ ィ ー ル ド は 、Linux カ ー ネ ル の どこ か で チェ ッ ク さ れる よ 
う で す 。 

も ちろ ん 、Glibc と Linux カ ー ネ ル の ソー スコ ー ド の 両方 を ダウ ン ロ ー ド する の は 簡単 で す 
が 、 そ れ を 使わ な いで 問題 を 理解 する こと に 興味 が あり ます 。 


し た が っ て 、Linux 2.6 で は 、sys open シス テム コー ル が 呼び 出さ れる と 、 制 御 は 最終 的 
に do sys open に 渡さ れ 、 そ こ か ら do fitp open( ) 関数 (fs/namei.c の カー ネル 
ソー ス ツ リ ー に あり ます ) に 渡さ れ ま す 。 


注意 : 引数 を スタ ッ ク 経 由 で 渡す の と は 別に に 、 レジ スタ の いく つか を レジ スタ に 渡す 方 法 
も あり ます 。 こ れ は fastcall (?? on page ??) と も 呼ば れ ま す 。 こ れ は 、 引 数 の 値 を 読み 
取る た め に CPU が メモ リ 内 の スタ ッ ク に アク セス する 必要 が な いた め 、 よ り 高 速 に 動作 し 
ます 。GCC に は /egpar775 と いう オプ ショ ン が あり ます 。 こ れ に より 、 レ ジス タ 経 由 で 
渡す こと が で きる 引数 の 数 を 設定 する こと が で きま す 。 


Linux 2.6 カ ー ネ ル は -mregparm=3 オプ ショ ン 6 で コン パイ ル さ れ ま す 。 137 


135ohse.de/uwe/articles/gcc-attributes.html#func-regparm 
136kernelnewbies.org/Linux 2 6 20#head-042c62f290834eb1fe0a1942bbf5bb9a4accbc8f 
137 カ ー ネ ル ツリ ー の arch/x86/include/asm/calling.h ファ イル も 参照 し て くだ さい 
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これ が 意味 する と ころ は 、 最 初 の 3 つの 引数 は レジ スタ EAX, EDX, ECX を 経由 し 、 残 り 
は スタ ッ ク 経 貼 で 渡さ れる と いう こと で す 。 も ちろ ん 、 引 数 の 数 が 3 より も 少な い 場 合 、 設 
定 さ れ た レジ スタ の 一 部 の み が 使 用 され ます 。 


で すか ら 、Linux Kernel 2.6.31 を ダウ ン ロ ー ド し 、Ubuntu で コン パイ ル し て みて くだ さ 
Ws make vmlinux L., IDA で 開き 、do fitp open( ) 関数 を 見 つけ まし ょ う 。 以 下 を 見 
て み ま す (コメ ント は 私 の も の で す )。 


Listing 1.264: do filp open() (linux kernel 2.6.31) 


do filp open proc near 
push ebp 
mov ebp, esp 
push edi 
push esi 
push ebx 
mov ebx, ecx 
add ebx, 1 
sub esp, 98h 
mov esi, [ebptarg 4] ; acc mode (5 番目 の 引数 ) 
test bl, 3 
mov [ebp+var 80], eax : dfd (1 番目 の 引数 ) 
mov [ebp+var 7C], edx ; pathname (2 番目 の 引数 ) 
mov [ebp+var 78], ecx ; open flag (3 番目 の 引数 ) 
jnz short loc CO1EF684 
mov ebx, ecx ; ebx <- open_flag 


GCC は 最初 の 3 つの 引数 の 値 を ロー カル スタ ッ ク に 保存 し ます 。 こ れ が 行わ れ な か っ た 場 
合 、 コ ン パ イラ は これ ら の レジ スタ に 触れ ず 、 コ ン パ イラ の register allocator に は 厳し い 
環境 に な り ま す 。 


この コー ド の 断片 を 見 て み ま し ょ う : 
Listing 1.265: do filp open() (linux kernel 2.6.31) 


loc COIEF684: ; CODE XREF: do filp open+4F 
test bl, 40h ; 0 CREAT 
jnz loc COIEF810 
mov edi, ebx 
shr edi, 11h 
xor edi, 1 
and edi, 1 
test ebx, 10000h 
jz short loc COIEF6D3 
or edi, 2 


0x40 は 0 CREAT マク ロ と 同じ こと で す 。 open flag は 0x40 と し て チェ ッ ク さ れ 、 こ 
の ビッ ト が 1 の 場合 、 次 の JNZ 命令 が 実行 され ます 。 


ARM 
0 CREAT ビッ ト は Linux カ ー ネ ル 3.8.0 で は チェ ッ ク は 異な り ま す 。 
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Listing 1.266: linux kernel 3.8.0 


struct file *do filp open(int ата, struct filename *pathname, 
const struct open flags *op) 


t 

ーー fitp = path openat(dfd, pathname, &nd, op, flags | LOOKUP RCU); 
= 

static struct file *path openat(int dfd, struct filename *pathname, 


struct nameidata *nd, const struct open flags *op, int 7 
s flags) 


error = do last(nd, &path, file, op, &opened, pathname); 
static int do last(struct nameidata *nd, struct path *path, 


struct file *file, const struct open flags *op, 
int *opened, struct filename *name) 


1 
ーー if (!(open flag & 0 CREAT) ) í 
error = lookup fast(nd, path, &inode) ; 
ーー y else { 
С error = complete ма1к (па) ; 
} 
ps 


ARM モ ー ド 用 に コン パイ ル さ れ た カー ネル が IDA で どの よう に 見 える か は 次 の と お り で 
す 。 


Listing 1.267: do last() from vmlinux (IDA) 


.text:C0169EA8 MOV R9, R3 ; R3 - (4th argument) open flag 
.text:C0169EDA LDR R6, [R9] ; R6 - open flag 

.text:C0169F68 TST R6, 40x40 ; jumptable CO169F00 default case 
.text:C0169F6C BNE loc C016A128 

.text:C0169F70 LDR R2, [R4,#0x10] 

.text:C0169F74 ADD R12, R4, #8 

.text:C0169F78 LDR R3, [R4,#0xC] 

.text:C0169F7C MOV RO, R4 

.text:C0169F80 STR R12, [R11,£var 50] 


.text:C0169F84 LDRB R3, [R2,R3] 
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.text:C0169F88 MOV R2, R8 
.text:C0169F8C CMP R3, 40 
.text:C0169F90 ORRNE R1, R1, #3 
.text:C0169F94 STRNE R1, [R4,#0x24] 
.text:C0169F98 ANDS R3, R6, #0x200000 
.text:C0169F9C MOV R1, R12 
.text:C0169FA0 LDRNE R3, [R4,#0x24] 
.text:C0169FAA4 ANDNE R3, R3, #1 
.text:C0169FA8 EORNE R3, R3, #1 
.text:C0169FAC STR АЗ, [R11,£var 54] 
.text:C0169FBO SUB R3, R11, £-var 38 
.text:C0169FB4 BL lookup fast 
.text:C016A128 loc C016A128 ; CODE XREF: do last.isra.14«DC 
.text:C016A128 MOV RO, R4 


.text:C016A12C BL complete walk 


TST は 、x86 の TEST 命令 に 似 て いま す 。tookup fast() は ある ケー ス で は 実行 され 、 も 
うー つの ケー ス で は complete watk( ) が 実行 され る と いう 事実 に よっ て 、 こ の コー ド 
フラ グ メ ント を 視覚 的 に 「 発 見 」 する こと が で きま す 。do tast( ) 関数 の ソー スコ ー ド に 
相当 し ます 。0 CREAT マク ロ は ここ で も 0x40 と 同じ で す 。 


第 1.21.2 節 特定 ビッ ト の 設定 と クリ ア 
例 : 


#include <stdio.h> 


#define SET BIT(var, bit) ((var) (bit) ) 


#define IS SET(flag, bit) ((flag) & (bit) ) 
|= 
#define REMOVE BIT(var, bit) ( (var) &= ~(bit)) 


int f(int a) 


1 
int rt=a; 
SET BIT (rt, 0x4000); 
REMOVE BIT (rt, 0x200); 
return rt; 

}; 

int main() 

{ 
f(0x12340678); 


}; 
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x86 
非 最 適 化 MSVC 


次 の 結果 を 得 ま す 。(MSVC 2010) 
Listing 1.268: MSVC 2010 


_rt$ = -4 ; Size = 4 
8$ = 8 ; Size = 4 
f PROC 
push ebp 
mov ebp, esp 
push ecx 


mov eax, DWORD PTR a$[ebp] 

mov DWORD PTR rt$[ebp], eax 

mov ecx, DWORD PTR rt$[ebp] 

or ecx, 16384 ; 00004000H 
mov DWORD PTR rt$[ebp], ecx 

mov edx, DWORD PTR rt$[ebp] 

and edx, -513 ; fffffdffH 
mov DWORD PTR rt$[ebp], edx 

mov eax, DWORD PTR rt$[ebp] 


mov esp, ebp 
pop ebp 
ret 0 

f ENDP 


OR 命令 は 、 他 の 1 ビッ ト を 無視 し て 1 ビッ ト を レジ スタ に 設定 し ます 。 


AND は 1 ビッ ト を リセ ッ ト し ます 。AND は 1 を 除く すべ て の ビッ ト を コピ ー す る だ け で ある 
と 言え ます 。 実 際 、2 番 目 の AND オペ ラン ド で は 、 保 存する 必要 が ある ビッ ト の み が 設 定 
され 、 コ ピー し た く な い ビ ッ ト は 設定 され ませ ん (ビッ トマ スク で は 0)。 こ れ は 、 ロ ジッ 
ク を 覚え る の が 簡単 な 方 法 で す 。 
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OllyDbg 


OllyDbg で この 例 を 試し て み ま し ょ う 。 
まず 、 使 用 する 定数 の バイ ナリ 形式 を 見 て み ま し ょ う 。 


0x200 (0b00000000000000000001000000000) (すなわち 、10 番 目 の ビ ッ ト (1 か ら 
数 えて )) 

Inverted 0x200 is OXFFFFFDFF (0611111111111111111110111111111). 

0x4000 (0b00000000000000100000000000000) (すなわち 、15 番 目 の ビ ッ ト ) 


入力 値 は 0x12340678 (0b10010001101000000011001111000)。 ど の よう に ロー ド さ 
れる か 見 て いき ます 。 


CPU - main thread, module set reset 

a PUSH EBP 

МОУ EBP,ESP 

PUSH ЕСХ 

MOU ERX,DWORD PTR SS:CARG.1] 
MOU DWORD PTR SS:EtLOCRL.11,ERX 
МОУ ECX, DWORD PTR SS:LLOCRL.13 


OR ECX, 00004. 
MOU DWORD PTR SS:[LOCRL.11,ECX 
MOY EDX, DWORD PTR SS: LOCHL.11 
AND EDX: FFFFFD 
Pp PIB EL ë 
° 1 ` C 8 ES g(FFFFFFFF ) 

ПОМ ESP。EBP ZU B(FFFFFFFF) 
РОР ЕВР n e ; g(FFFFFFFF) 
RETN @( FFFFFFFF) 

ー z, ZEFDD000( FFF) 
B(FFFFFFFF) 


v 
ASCII (ANSI 


Fle 6 Әә E C BGES у | RETURN from set. 
6 H(] hH] Ë 


RETURN from set. 
ASCII "pH1” 


図 1.94: OllyDbg: 値 が ECX に ロー ド 
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OR が 実行 され る 。 


CPU - main thread, module set reset 

PUSH ЕВР 

MOU EBP, ESP 

PUSH ECX 

MOU EAX, DWORD PTR SS: [HRG。 1 ] 
MOU DWORD PTR SS:LLOCRL.11,ERX 
МОУ ECX, DWORD PTR 55: [LUCHL. 17 
OR ECX, gg ロ 4 ロ g 

MOU DWORD PTR SS: [LOCRL.11,ECX 
MOV EDX, DWORD PTR SS: [LCHL . 1 ] 
AND EDX, FFFFFOFF 

FU DWORD PTR SS:CLOCAL.11,EDx 
MOV EAX,DWORD PTR 55: CLOCAL. 1 ] 
MOU ESP, EBP 


POP ЕВР 
RETN 


mmm 
= О 
で = 


00E31013 
ES gg2B 


с 


FFFFFFFF) 
FFFFFFFF) 
7EFDD@GG( FFF) 
; B(FFFFFFFF) 


а 


ECX=12344678 
Stack [BB2FFCBB] ニ 1234g678 


)O шоого 
Goccooo-c 


astErr Ü 


B Stee 
HCI hH1 


RETURN from set. 
ASCII "pNJ1" 


1.95: OllyDbg: OR が 実行 


15 番 目 の ビ ッ ト が セッ ト 。 0х12344678 (0b10010001101000100011001111000). 
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00E31000 ss PUSH ЕВР 

00E31001 NOU EBP,ESP 

ggE3 5 PUSH ECX 

00E31004 MOU EAX, DWORD PTR SS:CARG. 11 
00E31007 MOU DWORD PTR 55: [LOCHL . 1], EAX 
@GE3166A FC МОУ ECX, DWORD PTR 55: CLOCAL. 1] 
BaES188D OR ЕСХ,ЙЙЙЙ4ЙЙЙ 

00E31013 FC MOV DWORD PTR SS:[LOCRL.11l,ECX 
ロロ ES1916 MOU EDX, DWORD PTR 55: [LOCHL . 1 ] 


BE31 ロ 19 AND EDX,FFFFFDFF 

MOV DWORD PTR SS: [LnCHL. 1 ], ER 
МОУ EAX, DWORD PTR SS:tLOCRL.11 
MOV ESP,EBP 


HUEFFLSS 
BAA2FFCSC 
а 


8 = 


13378 
ggE31919 
j gg2B 32bit g(FFFFFFFF) 

0023 32bit BLFFFFFFFF) 
BOZE S2bit BLFFFFFFFF) 
gg2B 32bit BLFFFFFFFF) 

3 gg53 32bit 7EFDDggg(FFF) 
5 gg2B 32bit B(FFFFFFFF) 


ac 
00Е31927 РОР ЕВР 
а RETN 


IO AONDIO m mmmm 


LastErr 98968006 ERROR SUCCESS 
69960266 (NO,NB,NE,A,NS,PE,GE,G) 


. Ü Oper 
a) 8 HEJ hH] @@2ЕЕСӘ8 
gg2FFC9C RETURN from set. 
ロロ 2FFCHB Ө 
ASCII "pH1” 


1.96: OllyDbg: 値 が EDX に リロ ー ド 
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AND が 実行 され る 。 


PUSH EBP 

MOU EBP,ESP 

PUSH ECX 

MOU EAX, DWORD PTR SS: CARG. 1 ] 
MOU DWORD PTR 55: CLOCAL.1],EAx 
MOV ECX, DWORD PTR SS:CLOCAL.1] 
OR ECX, 00004000 


MOU DWORD PTR SS: [LUCHL . 11, ECX 
RD is SS: ELOCRL. 11 


ow 
) で как 070 


ggE 

BaES181F 

ES 8 bit g(FFFFFFFF) 
bit G(FFFFFFFF) 
bit B(FFFFFFFF) 
bit B(FFFFFFFF) 
bit vEFDDBaB(FFF) 
bit B(FFFFFFFF) 


OU PTR SS: [LOCAL. 11, EDX 
МОУ EAX, DWORD PTR SS:CLOCAL. 1] 
MOU ESP, EBP 
POP EBP 


EDR=12344478 
Stack [gg2FFCBB]=12344678 


m сс-ошг ртс m mm 


г! 


ӘКЕ FF FF FF 
FE FF FF FF 8 psp у |RETURN from set. 
aa 1 


g1 4E HO] AN 
: RETURN from set 
ASCII "pN1" 


йй йй 


1.97: OllyDbg: AND が 実行 


10 番 目 の ビ ッ ト が クリ ア さ れる 。( ま た は 、 言 い 換え る と 、10 番 目 を 除い て すべ て の ビッ ト が 
残り まし た ) そ し て 、 最 終 的 な 値 は 0x12344478 (0b10010001101000100010001111000) 
で す 。 


最適 化 MSVC 


MSVC で 最適 化 を 有効 に (/0x ) し て コン パイ ル す る と 、 コ ー ド は も っ と 短く な り ま す 。 
Listing 1.269: 最適 化 MSVC 


_а$ = 8 ; size = 4 
f PROC 
mov eax, DWORD PTR _a$[esp-4] 
and eax, -513 ; fffffdffH 
or eax, 16384 ; 00004000H 
ret 0 
f ENDP 


非 最適 化 GCC 


最適 化 な し の GCC 4.4.1 を 試し て み ま し ょ う 。 
Listing 1.270: 非 最適 化 GCC 


public f 
proc near 


—h 
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var 4 
arg_0 


+ 
Ф 
> 


dword ptr -4 

dword ptr 8 

sh ebp 

V ebp, esp 

b esp, 10h 

V eax, [ebp+arg_0] 

V [ebp+var 4], eax 
[ebp+var 4], 4000h 

d [ebp+var 4], OFFFFFDFFh 

V eax, [ebp+var 4] 

ave 

tn 

dp 


冗長 な コー ド が 見 られ ます が 、 非 最適 化 MSVC 版 より 短く な り ま す 。 
最適 化 -03 を 有効 に し て GCC を 試し て み ま し ょ う 。 


最適 化 GCC 


Listing 1.271: 最適 化 GCC 


public f 

f proc near 

arg_0 = dword ptr 8 
push ebp 
mov ebp, esp 
mov eax, [ebp«arg 0] 
pop ebp 
or ah, 40h 
and ah, OFDh 
retn 

f endp 


短く な り ま す 。 よ り 短 いで す 。 コ ン パ イラ が AH レジ スタ を 介し て EAX レジ スタ の 部 分 で 
動作 する こと は 注目 に 値 し ます 。 こ れ は 、8 番 目 の ビ ッ ト か ら 15 番 目 の ビ ッ ト ま で の EAX 


レジ スタ の 部 分 で す 。 
バイ ト の 並び 順 
第 7 | 第 6 | 第 5 | 第 4 | 第 3 | 第 2 | 第 1 | 第 0 
RAXX64 
EAX 
AX 
AH | AL 


注意 : 16 ビ ッ ト CPU 8086 ア キュ ムレ ー タ は AX と 命名 され 、8 ビ ッ ト の 2 つの レジ スタ で 
構成 され て いま し た 。AL (下位 バイ ト ) お よび AH (上 位 バ イト ) で す 。80386 で は ほ と 
ん どす べ て の レジ スタ が 32 ビ ッ ト に 拡張 され て 、 ア キュ ムレ ー タ の 名 前 は EAX で し た が 、 


互換 性 の た め に 古い 部 分 に は AX/AH/AL と し て アク セス する こと が で きま す 。 
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すべ て の x86 CPU は 16 ビ ッ ト の 8086 CPU の 後継 バー ジョ ン な の で 、 古 い 16 ビ ッ ト の オ 
ペコ ー ド は 新しい 32 ビ ッ ト の も の より も 短く な り ま す 。 だ か ら 、or ah, 40h 命令 は 3 バ 
イト し か 占有 し ませ ん 。 こ こ で は or eax, 04000һ を 発行 する 方 が 論理 的 で す が 、 そ れ 
は 5 また は 6 バイ ト で す 。 (最初 の オペ ラン ド の レジ スタ が EAX で な い 場 合 


最適 化 GCC and regparm 


-03 最適 化 フ ラグ を オン に し て regparm=3 に 設定 する と さら に 短く な り ま す 。 
Listing 1.272: 最適 化 GCC 


pubtic f 

f proc near 
push ebp 
or ah, 40h 
mov ebp, esp 
and ah, OFDh 
pop ebp 
retn 

f endp 


実際 、 最 初 の 引数 は すでに EAX に ロー ド さ れ て いる の で 、 イ ンプ レー ス で 処理 する こと は 
可能 で す 。 関 数 プロ ロー グ (push ebp / mov ebp,esp ) と エピ ロー グ (pop ebp) は 
ここ で は 簡単 に 省略 する こと が で きま す が 、GCC は お そら く こ の よう な コー ドサ イズ の 最 
適 化 を 行う に は 不 十 分 で ある こと に 注意 し て くだ さい 。 し か し 、 こ の よう な 短い 関数 は イ 
ン ラ イン 関数 より 優れ て いま す 。(3?2 on page ??) 


ARM + 最適 化 Keil 6/2013 (ARM モ ー ド ) 
Listing 1.273: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


02 0С CO ЕЗ BIC RO, RO, #0x200 
01 09 80 E3 ORR RO, RO, #0x4000 
1E FF 2F El BX LR 


BIC (Bltwise bit Clear) は 特定 の ビッ ト を クリ ア す る 命令 で す 。AND 命令 に 似 て いま す が 、 
反転 し た オペ ラン ド を 使用 し ます 。 つ まり 、NOT +AND 命令 ペア に 類似 し て いま す 。 


ORR is llogical or] , analogous to OR in x86. 
ORR は 「 論 理 OR」 です 。x86 の OR に 類似 し て いま す 。 
ここ まで は 簡単 で す 。 
ARM + 最適 化 Keil 6/2013 (Thumb モ ー ド ) 
Listing 1.274: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


01 21 89 03 MOVS R1, 0x4000 

08 43 ORRS RO, R1 

49 11 ASRS R1, R1, #5 ; Ox200 を 生成 し R1 に 配置 する 
88 43 BICS RO, R1 


70 47 BX LR 
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Keil は Thumb モ ー ド の コー ド が 0x4000 AS 0x200 に な り 、6x200 を 任意 の レジ スタ に 
書き 込む コー ド よ り も コン パク ト で ある と 判断 し た よう で す 。 
し た が っ て 、ASRS (Japanese text placeholder) の 助け を 借り て 、 こ の 値 は 0x4000 > 5 
と し て 計算 され ます 。 


ARM + 最適 化 Xcode 4.6.3 (LLVM) (ARM モ ー ド ) 


Listing 1.275: 最適 化 Xcode 4.6.3 (LLVM) (ARM モ ー ド ) 


42 0С CO ЕЗ BIC RO, RO, #0x4200 
01 09 80 E3 ORR RO, RO, #0x4000 
1E FF 2F El BX LR 


LLVM が 生成 し た コー ド は 、 次 の よう に な る か も し れ ま せん 。 


REMOVE BIT (rt, 0x4200); 
SET BIT (rt, 0x4000); 


そし て 、 こ れ は まさ に 必要 と し て いる も の で す 。 し か し な ぜ 0х4200 な の で し ょ うか 。 お 
そら く 、LLVM の オプ チマ イザ が 生成 し た 生成 物 で し ょ う 。 
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コン パイ ラ の オプ チマ イザ の エラ ー か も し れ ま せん が 、 生 成 さ れ た コー ド は と も あれ 正 し 
く 動 作 し ます 。 


コン パイ ラ の アノ マリ に つい て の 詳細 は こち ら (?? on page ??) 
Thumb モ ー ド で の 最適 化 Xcode 4.6.3 (LLVM) は 同じ コー ド を 生成 し ます 。 


ARM: BIC 命令 に つい て の 詳細 
例 を 少し 改変 し て み ま し ょ う 。 


int f(int a) 


{ 
int rt=a; 
REMOVE BIT (rt, 0x1234); 
return rt; 

}; 


ARM モ ー ド の 最適 化 Keil 5.03 の 結果 は 以下 の よう に な り ま す 。 


f PROC 
BIC r0, r0,#0x1000 
BIC rO, r0,#0x234 
BX tr 
ENDP 


138Apple Xcode 4.6.3 に バン ドル され た LLVM build 2410.2.00 で す 
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BIC 命令 が 2 つ あ り ま す 。 すなわち 、 ビ ッ ト 0x1234 は 2 パス で クリ ア さ れ ま す 。 

な ぜ な ら 1 つ の BIC 命令 で は 0х1234 を エン コー ド す る こと が 不可 能 だ か ら で す 。 し か 
L. 0x1000 と 0x234 を エン コー ド す る こと は で きま す 。 

ARM64: 最適 化 GCC (Linaro) 4.9 


最適 化 GCC コン パイ ラ で ARM64 を コン パイ ル す る な ら BIC の 代わ り に AND 命令 を 使用 
で きま す 。 


Listing 1.276: 最適 化 GCC (Linaro) 4.9 


f: 
and w0, w0, -513 ; OxFFFFFFFFFFFFFDFF 
orr м0, мо, 16384 ; 0х4000 
геї 


ARM64: 非 最 適 化 GCC (Linaro) 4.9 
非 最適 化 GCC は も っ と 冗長 な コー ド を 生成 し ます が 、 最 適 化 さ れ た よう に 動作 し ます 。 
Listing 1.277: 非 最適 化 GCC (Linaro) 4.9 


f: 
sub sp, sp, #32 
str w0, [sp,12] 
tdr w0, [sp, 12] 
str w0, [sp,28] 
tdr w0, [sp,28] 
orr w0, w0, 16384 ; 0x4000 
str w0, [sp,28] 
tdr w0, [sp,28] 
and w6, w0, -513 ; 0xFFFFFFFFFFFFFDFF 
str w0, [sp,28] 
tdr w0, [sp,28] 
add sp, sp, 32 
ret 
MIPS 
Listing 1.278: 最適 化 GCC 4.4.5 (IDA) 
f: 
; $a0=a 
ori $a0, 0x4000 
; $a0-a |0x4000 
li $v0, OxFFFFFDFF 
jr $га 
апа $v0, $a0, $vO 


; 終了 時 : $vO = $a0 & $vO = a|0x4000 & OxFFFFFDFF 
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ORI は も ちろ ん 、OR 演 算 を 行い ます 。 命 令 の 中 の 「|」 は 機械 語 の 中 に 値 が 埋め 込ま れる 
こと を 意味 し ます 。 


し か し その 後 、 私 た ち は AND が あり ます 。 0xFFFFFDFF を 単 一 の 命令 に 埋め 込む こと は 不 
可能 で ある た め 、ANDI を 使用 する 方 法 は あり ませ ん 。 そ の た め 、 コ ン パ イラ は 最初 に レジ 
スタ $VO に 0xFFFFFDFF を ロー ド し て か ら 、 レ ジス タ か ら す べ て の 値 を 取る AND を 生成 
し ます 。 


第 1.21.3 節 シフ ト 

C/C++ で の ビッ トシ フト は < と > 演算 子 を 使っ て 実装 され ます 。x86 ISA は シフ ト の 
た め に SHL (SHift Left) と SHR (SHift Right) 命令 を 持っ て いま す 。 シ フト 命令 は し ば し 
ば 2 の べき 乗 2x に お いて 除算 や 乗算 が 使用 され ます (例え ば 1,2,4,.8 な ど ) 。1.18.1 on 
page 261、1.18.2 on page 266。 


シフ ト 操 作 も 非常 に 重要 で す 。 シ フト 演算 は 特定 ビッ ト の 分 離 や 複数 の 散在 ビッ ト 値 の 構 
築 に 用 いら れる こと が 多い か ら で す 。 

第 1.21.4 節 特定 ビッ ト の セッ ト や クリ ア : ЕРО の 例 

IEEE 7547 XX € float 型 が どの よう に 配置 され る の か 見 て み ま す 。 


31 30 23 22 0 


S| 指数 対数 また は 比 


(5 一 記号 ) 


数 字 の 符号 情報 は MSB3 に あり ます 。FPU 命 令 な し で 浮動 小数 点数 の 符号 を 変更 する こと 
は 可能 で し ょ うか ? 


#include <stdio.h> 


float my abs (float i) 


1 
unsigned int tmp=(*(unsigned int*)&i) & Ox7FFFFFFF; 
return *(float*)&tmp; 

}; 

float set sign (float i) 

1 
unsigned int tmp=(*(unsigned int*)&i) | 0x80000000; 
return *(float*)&tmp; 

}; 

float negate (float і) 

{ 
unsigned int tmp=(*(unsigned int*)&i) ^ 0x80000000; 
return *(float*)&tmp; 

}; 


139 最 上 位 ビ ッ ト 
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int main() 
t 
printf ("my_abs():Nn"); 
printf ("%fNn", my_abs (123.456)); 
printf ("%fNn", my_abs (-456.123)); 
printf ("set sign() :\п"); 
printf ("%f\n", set sign (123.456) ) : 
printf ("%Т\п", set sign (-456.123) ) : 
printf ("negate():\n"); 
printf ("%f\n", negate (123.456)); 
printf ("%f\n", negate (-456.123)); 
}; 


実際 の 変換 を せ ず に float 値 と の 間 で コピ ー を 行う に は 、C/C++ で この トリ ッ ク が 必要 で 
す 。 し た が っ て 、 3 つの 関数 が あり ます 。 my _abs() は MSB を リセ ッ ト し ます 。set sign( ) 
は MSB を 設定 し ます 。negate() は それ を 反転 させ ます 。 


XOR を 使っ て ビッ ト を 反転 する こと が で きま す 。 


x86 
コー ド は か な り 簡 単 で す 。 
Listing 1.279: 最適 化 MSVC 2012 


tmp$ = 8 

_i$ = 8 

_my abs PROC 
and DWORD PTR i$[esp-4], 2147483647 ; 7fffffffH 
fld DWORD PTR tmp$[esp-4] 
ret 0 

_my_abs ENDP 

_tmp$ = 8 

_i$ = 8 

Set sign PROC 
or DWORD PTR i$[esp-4], -2147483648 : 80000000H 
fld DWORD PTR tmp$[esp-4] 
ret 0 


tmp$ = 8 
_1$=8 
_negate PR0C 
xor DWORD PTR _i$[esp-4], -2147483648 : 30000000H 
fld DWORD PTR _tmp$[esp-4] 
ret 0 


negate ENDP 


float 型 の 入力 値 は スタ ッ ク か ら 取 得 さ れ ま す が 、 整 数 値 と し て 扱わ れ ま す 。 
AND と OR は 望む ビッ ト を リセ ッ ト そ し て セッ ト し ます 。XOR は 反転 し ます 。 
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最後 に 、 変 更 さ れ た 値 が STO に ロー ド さ れ ま す 。 浮動 小数 点数 は この レジ スタ に リタ ー 
ン さ れる か ら で す 。 


さて 、x64 向 け の 最適 化 MSVC 2012 で 試し て み ま し ょ う 。 


Listing 1.280: 最適 化 MSVC 2012 x64 


tmp$ = 8 

1$ = 8 

my abs PROC 
movss DWORD PTR [rsp+8], xmm0 
mov eax, DWORD PTR i$[rsp] 
btr eax, 31 
mov DWORD PTR tmp$[rsp], eax 
movss xmm0, DWORD PTR tmp$[rsp] 
ret 0 

my abs ENDP 

TEXT X ENDS 

tmp$ = 8 

i$ = 8 


set sign PROC 
movss DWORD РТА [rsp+8] , xmmO 


mov eax, DWORD PTR i$[rsp] 
bts eax, 31 

mov DWORD PTR tmp$[rsp], eax 
movss xmm0, DWORD PTR tmp$[rsp] 
ret 0 


set_sign ENDP 


tmp$ = 8 
i$ = 8 
negate PROC 
movss DWORD PTR [rsp+8], xmm0 


mov eax, DWORD PTR 1$[rsp] 
btc eax, 31 

mov DWORD PTR tmp$[rsp], eax 
movss xmm0, DWORD PTR tmp$[rsp] 
ret 0 


negate ENDP 


入力 値 は XMMO に 渡さ れ 、 そ し て ロー カル スタ ッ ク に コピ ー さ れ て 、 新 し い 命 令 が いく つ 
か 見 られ ます 。BTR 、BTS 、BTC で す 。 


各 命 令 は 特定 の ビッ ト を リセ ッ ト (BTR)、 セ ッ ト (BTS) そし て 反転 (また は 補 数 : BTC) + 
る の に 用 いら れ ま す 。 0 から 数 えて 31 番 目 の ビ ッ ト は MSB で す 。 


最後 に 、 結 果 は XMMO に コピ ー さ れ ま す 。 浮動 小数 点数 の 値 は Win64 の 環境 で は XMMO を 
通し て リタ ー ン され る か ら で す 。 

MIPS 

GCC 4.4.5 で MIPS 向 け の コー ド は ほとん ど 同 じ で す 。 
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Listing 1.281: 最適 化 GCC 4.4.5 (IDA) 


my abs: 
; コ プ ロ セッ サ 1 か ら 移 動 
mfc1 $v1, $fl2 
li $v0, Ox7FFFFFFF 
$v0=0x7FFFFFFF 
; AND を 実行 


and $V0, $v1 
; コ プ ロ セッ サ 1 に 移動 : 
mtc1 $v0, $f0 


, リタ ー ン 
jr $ra 
or gat, $zero ; 分 岐 遅延 スロ ッ ト 


set_sign: 

; コ プ ロ セッ サ 1 か ら 移 動 
mfc1 $v0, $f12 
lui $v1, 0x8000 

$v1=0x80000000 

; OR を 実行 


or $v0, $vl, $v0 
; コ プ ロ セッ サ 1 に 移動 : 
mtc1 $V0, $f0 
』 リタ ー ン 
jr $ra 
or gat, $zero ; 分 岐 遅延 スロ ッ ト 


negate: 

; コ プ ロ セッ サ 1 か ら 移 動 
mfc1 $v0, $f12 
lui $v1, 0x8000 

$v1=0x80000000 

; XOR を 実行 


xor $vO, $vl, $V0 
; コ プ ロ セッ サ 1 に 移動 
тїс1 $v0, $f0 


: リタ ー ン 
jr $ra 
or gat, $zero ; 分 岐 遅 延 ス ロッ ト 
単 一 の LUI 命令 が 使用 され 、 レ ジス タ に 0x80000000 が ロー ド さ れ ま す 。 LUI は 低位 16 ビ 
ッ ト を クリ ア し 、 ゼ ロ に する の で 、 後続 に ORI が な く て も LU で 十分 で す 。 
ARM 


最適 化 Keil 6/2013 (ARM モ ー ド ) 


Listing 1.282: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


my abs PROC 
; ビッ ト を クリ ア 
BIC го, rO, #0x80000000 
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BX 
ENDP 


set_sign PROC 


negate РВОС 
; XOR を 実行 
EOR 


tr 


r0,r0,#0x80000000 
tr 


r0,r0,#0x80000000 
tr 


ここ まで は 順調 で す 。 


ARM は BIC 命令 が あり 、 特 定 の ビッ ト を 明示 的 に クリ ア し ます 。EOR は ARM 命 令 で XOR 
の こと で す ( [Exclusive OR] ). 


最適 化 Keil 6/2013 (Thumb モ ー ド ) 


Listing 1.283: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


my abs PROC 

LSLS r0,r0,#1 
; rQ=i<<1 

LSRS r0,r0,#1 
; FT0=( 1<<1 ) >>1 

BX tr 

ENDP 
set sign PROC 

MOVS r1,#1 
21 

LSLS rl,r1,#31 
; г1=1<<31=0х80000000 

0RRS FrO, FrO,r1 
; rO-rO | 0x80000000 

BX tr 

ENDP 
negate PROC 

MOVS r1,#1 
; rl=1 

LSLS r1,r1,#31 


; r121««31-0x80000000 


EORS 


r0,r0,r1 


; г0=г0 ^ 0x80000000 


BX 
ENDP 


tr 
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ARM の Thumb モ ー ド は 16 ビ ッ ト 命 令 を 提供 し ます 。 そ ん な に 多く の デー タ を エン コー ド 
は で き な い の で 、MOVS/LSLS 命令 ペア が 定数 Ox80000000 を 形 づ く る の に 使用 され ます 。 
この よう に 動作 し ます : 1 << 31 = 0z80000000 


my abs の コー ド は 奇妙 で 、 こ の 式 の よう に 効果 的 に 機能 し ます : (<< 1) > 1 C OX [£ 
無 意 味 に 見 えま す 。 LAL, input << 1 が 実行 され る と 、MSB (符号 ビッ ト ) が ドロ ッ プ 
され る だ け で す 。 0 result >> 1 文 が 実行 され る と 、 す べ て の ビッ ト が 現在 自分 の 場所 
こ あ り ま す が 、 シ フト 演算 か ら 出現 する すべ て の 「 新 し い 」 ビ ッ ト は 常に ゼロ で ある た め 、 
MSB は ゼロ に な り ま す 。 これが LSLS/LSRS 命令 ぺ ペア が MSB を クリ ア す る 方 法 で す 。 


最適 化 GCC 4.6.3 (Raspberry Pi, ARM モ ー ド ) 


Listing 1.284: 最適 化 GCC 4.6.3 for Raspberry Pi (ARM モ ー ド ) 


my abs 
; S50 か ら R2 に コピ ー 
FMRS R2, SO 
; ビッ ト を クリ ア 
BIC R3, R2, #0x80000000 
; R3 か ら 50 に コピ ー 
FMSR S0, R3 


set sign 
; S590 か ら R2 に コピ ー 
FMRS R2, 50 


ORR R3, R2, #0x80000000 
; R3 か ら 50 に コピ ー 

FMSR 50, АЗ 

BX LR 


negate 
; 50 か ら R2 に コピ ー 
FMRS R2, 50 
; ADD を 実行 
ADD R3, R2, #0x80000000 
; R3 か ら 50 に コピ ー 
FMSR S0, R3 
BX LR 


QEMU で Raspberry Pi Linux を 動か し て ARM FPU を エミ ュ レ ー ト し て み ま し ょ う 。R レ ジ 
スタ の 代わ り に S レ ジス タ が 浮動 小数 点数 に 使用 され ます 。 


FMRS 命令 は GPR か ら FPU そ し て 逆 に も デー タ を コピ ー し ます 。 


my abs() と set sign( ) は 期待 通り に 見 えま す が 、negate() は どう で し ょ うか ?XOR 
の 代わ り に ADD が ある の は どう し て で し ょ うか ? 


信じ が た いか も し れ ま せん が 、 命 令 ADD register, 0x80000000 は XOR register, 
0x80000000 の よう に 動作 し ます 。 ま ず 、 ゴ ー ル は 何で し ょ うか ? ゴ ー ル は MSB を 反転 させ 
る こと な の で 、XOR 演算 は 忘れ まし ょ う 。 学 校 レ ベル の 数 学 か ら は 他 の 値 に 1000 を 加算 する 
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こと は 最後 の 3 桁 に は 影響 し な いと 思う か も し れ ま せん 。 例 えば : 1234567+10000 = 1244567 
(最後 の 4 桁 は 影響 を 受け な い ) 
し か し 、 こ こ で は バイ ナリ ベー ス で 操作 する と 、0x80000000 は 0b10000000000000000000000000000000 
すなわち 最高 位 の ビッ ト の み セ ッ ト さ れ ま す 。 
任意 の 値 に 0x80000000 を 加算 する と 低位 の 31 ビ ッ ト に 影響 し ませ ん が 、MSB だ け 影 響 し 
ます 。0 に 1 を 加算 する と 結果 は 1 で す 。 


1 に 1 を 加算 する と 結果 は バイ ナリ 形式 で 0b10 に な り ま す が 、(0 か ら 数 えて ) 32 番 目 の ビ 
ッ ト は ドロ ッ プ し ます 。 レ ジス タ は 32 ビ ッ ト 幅 な の で 、 結 果 は 0 に な り ま す 。XOR が ADD 
で 置き 換え 可能 な の は その た めで す 。 


GCC が な ぜ こ うす る と 決定 し た か は わか り ま せん が 、 正 し く 動 作 し ます 。 


第 1.21.5 節 Counting bits set to 1 
入力 値 の ビッ ト の 数 を 計算 する 関数 の 単純 な 例 で す 。 
この 操作 は 「 集 団 カ ウン ト 」 と も 呼ば れ ま す 。+① 


#include <stdio.h> 
#define IS SET(flag, bit) ((flag) & (bit) ) 
int f(unsigned int a) 
{ 

int i; 

int rt=0; 

for (i20; i<32; i++) 

if (IS SET (a, 1<<і)) 
rtr; 

return rt; 
}; 
int main() 
{ 

f(0x12345678); // test 
}; 


この ルー プ で は 、 ル ー プ カウ ント 値 ? は 0 か ら 31 を 数 えま す 。1 < 文 は 1 か ら 0х80000000 
まで 数 えま す 。 自然 言 語 で この 操作 を 説明 する と 、7 を ロビ ッ ト 左 シフ ト す る と いえ ます 。 
言い 換え る と 、1 <? 文 は 結果 と し て 32 ビ ッ ト 数 の すべ て の 可能 な ビッ ト 位 置 を 生成 し ま 
す 。 右側 の 解放 され た ビッ ト は 常に クリ ア さ れ ま す 。 

i=0...31 で 取り うる すべ て の 値 の 表 で す 。 


140 (SSE4 を サポ ー ト する ) モダ ン x86 CPU は この た め に POPCNT 命 令 を 持っ て いま す 
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C/C++ 表現 | 2 の べき 乗 | 10 進 数 形式 | 16 進 数 形式 

1 <0 20 1 1 

1 <1 21 2 2 

1<2 22 4 4 

1<3 23 8 8 

1<«4 24 16 0x10 

1<5 25 32 0x20 

1 <6 29 64 0x40 

1 <7 97 128 0х80 

1«8 28 256 0x100 

1 <9 29 512 0x200 

1 <10 DN 1024 0x400 
1«11 о 2048 0x800 

1 < 12 217 4096 0x1000 

1 <13 213 8192 0x2000 

1< 14 oe 16384 0x4000 

1 <15 215 32768 0x8000 
1<16 216 65536 0x10000 

1 <17 217 131072 0x20000 

1 < 18 gu 262144 0x40000 
1«19 219 524288 0x80000 

1 < 20 220 1048576 0x100000 

1 < 21 221 2097152 0x200000 
1 < 22 222 4194304 0x400000 

1 < 23 273 8388608 0x800000 

1 < 24 224 16777216 0х1000000 
1 < 25 225 33554432 0x2000000 
1 < 26 228 67108864 0x4000000 
1 < 27 277 134217728 0x8000000 
1 < 928 228 268435456 0x10000000 
1 < 29 229 536870912 0x20000000 
1 < 30 230 1073741824 | 0x40000000 
1 < 31 231 2147483648 | 0x80000000 


この よう な 定数 (ビッ トマ スク ) は コー ド 上 、 非 常に よく 現れ ます 。 現役 の リバ ー ス エン 
ジニ ア は これ ら を 素早 く 見 つけ な けれ ば な り ま せん 。 


65536 以 下 の 10 進 数 と 16 進 数 は 簡単 に 記憶 で きま す 。65536 を 超え る 10 進 数 は お そら く 


記憶 する 価値 は な いで し ょ う 。 


これ ら の 定数 は 、 フ ラグ を 特定 の ビッ ト に マッ ピン グ す る た め に 非常 に よく 使用 され ます 。 
た と えば 、Apache 2.4.6 の ソー スコ ー ド か ら ssl private.h を 抜粋 し た 例 を 次 に 示し 


ます 。 

JF% 

* Define the SSL options 

*/ 

#define SSL ОРТ NONE (9) 
#define SSL ОРТ RELSET (1<<0) 
#define 551 ОРТ STDENVVARS ( 1<<1 ) 
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#define SSL ОРТ EXPORTCERTDATA (1««3) 
#define SSL OPT FAKEBASICAUTH (1<<4) 
#define SSL ОРТ STRICTREQUIRE (1<<5) 
#define SSL OPT OPTRENEGOTIATE (1««6) 
#define SSL OPT LEGACYDNFORMAT (1<<7) 


私 た ちの 例 に 戻り まし ょ う 。 

IS SET マク ロ は ビッ ト の 数 を a で チェ ッ ク し ます 。 

IS SET マク ロ は 実際 、 論 理 AND 演 算 (AND) で 、 特 定 の ビッ ト が そこ に な けれ ば 0 を 返す 
か 、 ビ ッ ト が 存在 すれ ば 、 ビ ッ ト を マス ク し ます 。C/C++ の if) 演算 子 は 、 そ の 式 が ゼロ 
で な い 場 合 に 実行 し ます が 、123456 で あっ て も 正しく 動作 し ます 。 

x86 


MSVC 


MSVC 2010 で コン パイ ル し て み ま し ょ う 。 
Listing 1.285: MSVC 2010 


_rt$ = -8 ; Size = 4 
i$ = -4 ; Size = 4 
_a$ = 8 ; Size = 4 
_f PROC 
push ebp 
mov ebp, esp 
sub esp, 8 
mov DWORD PTR _rt$[ebp], 0 
mov DWORD PTR i$[ebp], 0 
jmp SHORT $LN4@f 
$LN3@f: 
mov eax, DWORD PTR  i$[ebp] ; 1 を イン クリ メン ト 
add eax, 1 
mov DWORD PTR i$[ebp], eax 
$LN4@f: 
cmp DWORD PTR i$[ebp], 32 ; 00000020H 
jge SHORT $LN2@f ; ルー プ 終 了 ? 
mov edx, 1 
mov ecx, DWORD PTR i$[ebp] 
sht edx, cl ; EDX=EDX<<CL 
and edx, DWORD PTR _a$[ebp] 
je SHORT $LN1@f ; AND 命 令 の 結果 は 6 ? 
: そう な ら 次 の 命令 を スキ ッ プ 
mov eax, DWORD PTR _rt$[ebp] : そう で な けれ ば 、6 で は な い 
add eax, 1 ; rt を イン クリ メン ト 
mov DWORD PTR _rt$[ebp], eax 
$LN1@f : 
jmp SHORT $LN3@f 
$LN2@f : 


mov eax, DWORD PTR rt$[ebp] 
mov esp, ebp 
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pop ebp 
ret 0 
f ENDP 
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OllyDbg 


例 を OllyDbg に ロー ド し て み ま し ょ う 。 入 力 値 は 0x12345678 C$, 
i=1 の 場合 に 、: が どう ECX に ロー ド さ れる か を 見 て いき ます 。 


CPU - main thread, module shifts 
MOU ESP” E 


< 


JMP SHORT 929191F 
MOU EAX, usis PTR SS:[LOCRL.11 


EAX, 1 

DWORD PTR 55: CLOCAL. 11, EAX 
8370 FC 20 DWORD PTR SS: CLOCAL: 11,20 
7D 1 SHORT gg29193F 
BA 919ggggg EDX, 1 EIP 90291020 
8B4D FC ECX, DWORD PTR SS:CLOCAL. 11 E し OLFFFFFFFF) 


03Е2 _ -— EDX? CL FFFFFFFF) 
2355 98 AND EDX, DWORD PTR SS:CARG.1] FFFFFFFF) 
74 99 z SHORT 60291030 FFFFFFFF) 

: FODGGG( FFF) 
FFFFFFFF) 


яе еме 


128 
CL=61 
EDX=1 

Loop 88291816: loop variable CLOCAL.11](+1) 


эсә Q 


RETURN from 


RETURN from 
ASCII "phó" 


1.98: OllyDbg: i=1, i が ECX に ロー ド さ れる 


EDX は 1 で す 。SHL は た っ た 今 実行 され ます 。 
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SHL が 実行 され まし た 。 


CPU - main thread, module shifts [г xl 


00291003 83EC 08 SUB ESP, 8 

5 C745 F8 пдд! MOU DWORD PTR SS:CLOCAL.2],@ 
E FC 96661 MOU DWORD PTR нан: 13,8 
JMP SHORT 002910 
MOU EAX, RL PTR SS: [LOCAL. 11 


ЕҢУ, 
8945 FC DUGRD PTR 55: CLOCAL. 11, EAX EBP 9914F9 
8370 FC 20 DWORD PTR $$: CLOCAL: 11,29 2 
ESI 66000861 

SHORT gg291 ロ 3F 8 shifts.00293 
ЁН 91gggggg EDX, 1 Š ge: 
SB4D FC ECX, DWORD PTR $S:CLOCAL. 1] EIP 9029102F shifts. 0029102F 
D3E2 EDX, CL 
AND EDX, DWORD PTR SS:CARG.1] 
Je SHORT 00291030 


nov ERX. DWORD PTR SS:tLOCRL.21 


Y VS 


< 


S gg2B 32bit BLFFFFFFFF) 
0023 32bit B(FFFFFFFF) 
gg2B it B(FFFFFFFF) 
gg2B : BtFFFFFFFF) 
it ?EFDDggg(FFF) 
it B(FFFFFFFF) 


"rm t m mn 
< 


Stack CEE 12545675 
EDxX=00000002 
Loop 66291616: loop variable LLOCRL.11(*1) 


ocAo0mpoo 


RETURN from shi 


RETURN from shi 
ASCII "pH0” 


5] 1.99: OllyDbg: ? = 1, EDX 21« 1-2 


EDX は 1 <1 (また は 2) を 含み ます 。 こ れ は ビッ トマ スク で す 。 
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AND は ZF を 1 に セッ ト し 、 入 力 値 (9x12345678) を 2 で AND し て 結果 が 0 に な る こと を 意 
味 し ます 。 


CPU - main thread, module shifts 10| x! 
4 x P [ч 


C745 FS Boag MOV DWORD PTR SS:CLOCAL.2],6 
MOV DWORD PTR 55: CLOCAL.11,6 
JMP SHORT 0029101F 

MOU EAX,DWORD PTR SS:CLOCAL.1] 


EAX, 1 
DWORD PTR SS: CLOCAL.1],EAX 
ге 2@ DWORD PTR SS:LtLOCRL.11,28 


SHORT 6629103F 
BA 0109000000 EDX, 1 
8B4D FC ЕСУ. QWORD PTR SS:CLOCAL.1] 


: > 00291932 Ç 

EDX, DWORD PTR SS:[HRG.1] ES 992B . O(FFFFFFFF) 
Je SHORT 99291030 9tFFFFFFFF) 
MOU EAX, DWORD PTR SS:LLOCRL.21 


8300 el ADD EAX, I S asas. 
zad д alt _ 


mocccayvecves 


- - E ?EFDDggg(FFF ) 
Jump is taken 4 A 1 
E 6689109D - jumps to shift 9(FFFFFFTF) 
Loop 88291816: loop variable [LCHL. 1 


RETURN from shi 


ONS) 


Og 


RETURN from shi 
ASCII "pho" 


1.100: OllyDbg: ? = 1、 入 力 値 に その よう な ビッ ト は あり ます か ? い いえ (ZF =1) 


従っ て 、 入 力 値 に は 対応 する ビッ ト は あり ませ ん 。 
カウ ンタ を イン クリ メン ト す る コー ド 片 は 実行 され ませ ん 。JZ 命令 は バイ パス し ます 。 
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JMP SHORT 0029101F 
MOU EAX,DWORD PTR SS:CLOCAL.1] 


ADD EAX, 1 
MOU DWORD PTR 55: CLOCAL. 11,EAx 
8370 FC 29 СМР DWORD PTR SS:LLOCRL.11,20 
7D 1A JGE SHORT 0029183F 
8B4D FC || MOU ECs; DWORD PTR SS: CLOCAL. 11 
, : ` S2bit B(FFFFFFFF) 
SHL EDX, CL O it @(FFFFFFFF) 
g(FFFFFFFF } 
t B(FFFFFFFF) 
7EFDDGGB(FFF) 
it B(FFFFFFFF) 


LastErr 66960006 ERROR SUCCESS 
EFL 00000287 (NO,B,NE,BE,S,PE,L,LE) 


< 


мө лиа жж + 


< 


D3E2 


2355 08 AND EDX, DWORD PTR SS: CARG.1] 
74 09 Je SHORT 00291030 
Ed HO py 


{ 


оочогмчр то 


00291016: loop variable [LOCRL.11(+1) 


— ロロ 14F978 
8 оъ: 0014F97C 
нса hhNG 


0014F98C 
0014F990 


1.101: OllyDbg: i=4, i は ECX に ロー ド さ れる 
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EDX =1 < 4 (また は 0x10 も し く は 16): 


main thread, module shifts 


SSEC 08 SUB Е5Р,8 
C745 F8 OOGA NOV DWORD PTR SS:CLOCAL.21,4 
C745 FC S661 MOV DWORD PTR SS:LLOCRL.11l,0 
JMP SHORT 00291011F 
MOU EAX, DWORD PTR SS:CLOCAL.1] 


EAX, 1 
DWORD PTR 55: CLOCAL.11,EAx 
837D FC 26 DWORD PTR SS: CLOCAL.11,26 


70 1A 
BA 0109000000 
8B4D FC 


ЕЕ 


м.м 


< 


Sr 9629163F ‘ 
ECX; DWORD PTR SS:[LOCRL.11 EIP 9929192F 


P 
AND DWORD PTR SS:LRRG.11 
Je SHORT 00291030 

8B45 F8 MOU EAX, DWORD PTR SS:CLOCAL.2] 

a ロ ロリ BD ELS 

Stack [8814F9841-12345678 

EDX=00000010 

Loop 00291016: loop variable CLOCAL.11(+1) 


it B(FFFFFFFF) 

t BLFFFFFFFF) 

it B(FFFFFFFF) 

2bit B(FFFFFFFF) 
t EFDDggg(FFF) 

t B(FFFFFFFF) 


LastErr 68668006 ERROR SU 
EFL 00000202 (МО, МВ, МЕ, Я, 


"X 


)O-( nm D ос) 


8 obh 1 А 
HiQ hNG i 2 RETURN from shi 


©) б) бо бо ne 


RETURN from shi 
ASCII "рма" 


GococooTG| 


1.102: OllyDbg: ¿= 4, EDX =1 < 4 = 0z10 


これ は 別 の ビッ トマ スク で す 。 
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AND が 実行 され ます 。 


C745 FS Boao MOV DWORD PTR 55: [LOCHL 。 

MOV DWORD PTR SS:CLOCAL.11,6 
JMP SHORT 0029101F 

MOU ERN; DWORD PTR SS: CLOCAL. 1 


EAX, 
DWORD PTR 55: CLOCAL.1],EAx 
Ed FC 28 DWORD PTR SS:LtLOCRL.11,28 


A SHORT 0029103F 
BA 61698086 EDX, 1 
8B4D FC ЕСУ. DUORD PTR SS:CLOCAL.1] 


Р 
ND EDX, DWORD PTR 55: САК. 17 

SHORT 00291030 
MOU EAX, DWORD PTR SS: CLOCAL.2] 
83Cg a1 ADD EAX, 1 
294 a МО 
; 

D - jumps to shift 


Be st ここ йЗ 
Loop 66291616: loop variable [LOCRL.1 


< 


ve es. 


< 


7EFDD@GG( FFF) 
BCFFFFFFFF) 


RETURN from shi 


OAT 


RETURN from shi 


ASCII "pHQ” 


1.103: OllyDbg: ? = 4、 入 力 値 に その よう な ビッ ト は あり ます か ? は い (ZF =0) 


ZF は 0 で す 。 こ の ビッ ト は 入力 値 に ある か ら で す 。 実際 、0x12345678 & 0x10 = 0x10 
で す 。 


ジャ ンプ は 実行 され ず 、 ビ ッ ト カ ウン タ は イン クリ メン ト し ます 
関数 は 13 を リタ ー ン し ます 。 これ は 、6x12345678 に 設定 され た ビッ ト の 総数 で す 。 


GCC 


GCC 4.4.1 で コン パイ ル し て み ま し ょ う 。 
Listing 1.286: GCC 4.4.1 


public f 

f proc near 

rt = dword ptr -0Ch 

i = dword ptr -8 

arg 0 - dword ptr 8 
push ebp 
mov ebp, esp 
push ebx 
sub esp, 10h 
mov [ebp+rt], 0 
mov [ebp+i], 0 
jmp short loc 80483EF 


loc 80483D0: 
mov eax, [ebp+1 ] 
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mov 
mov 
mov 
shl 
mov 
and 
test 
jz 
add 
loc 80483EB: 
add 
loc 80483EF: 
cmp 
jle 
mov 
add 
pop 
pop 
retn 
f endp 


edx, 1 

ebx, edx 

ecx, eax 

ebx, cl 

eax, ebx 

eax, [ebp+arg_6] 
eax, eax 

short loc 80483EB 
[ebp+rt], 1 


[ebp+i], 1 


[ebp+i], 1Fh 
short loc 80483D0 
eax, [ebp+rt] 
esp, 10h 

ebx 

ebp 


x64 


例 を 64 ビ ッ ト に 拡張 する よう に 少し 変更 し て み ま し ょ う 。 


#include <stdio.h> 
#include <stdint.h> 


#define IS SET(flag, bit) 


int f(uint64 t a) 

{ 
uint64 t i; 
int rt=0; 


for (i20; i«64; 


i++) 


if (IS SET (a, 1ULL<<i)) 


rte; 


return rt; 


((flag) & (bit)) 


非 最 適 化 GCC 4.8.2 


ここ まで は 簡単 で す 。 


Listing 1.287: 非 最 適 化 GCC 4.8.2 


rsp 


о O +I O UQI L ON P 


401 


.L4: 


; RAX 


; ECX = 


; RDX = 


; RAX = 


; EAX = 


mov QWORD PTR [rbp-24], rdi ; 
mov DWORD PTR [rbp-12], 0 
mov QWORD PTR [rbp-8], 0 ; 
jmp ¿L 2 

mov rax, QWORD PTR [rbp-8] 
mov rdx, QWORD PTR [rbp-24] 
i, RDX = a 

mov ecx, eax 

1 

shr rdx, cl 

RDX>>CL = a>>i 

mov rax, rdx 

RDX = a>>i 

and eax, 1 


EAX&1 = (а>>і)&1 


test rax, 


: ラス トビ ッ ト が 9 か? 
: そう な ら 、 次 の ADD 命 令 に スキ ッ プ する 


.L3: 


.L3 
add 


add 


.L4 


eax, 
rbp 


rax 


DWORD PTR [rbp-12], 1 ; 
QWORD PTR [rbp-8], 1 ; 


QWORD PTR [rbp-8], 63 ; 


DWORD PTR [rbp-12] ; 


rt++ 


i++ 


1<63? 


条件 満た す な ら 、 旦 


rt を リタ ー ン 


F 度 ルー プ ボ ディ に ジャ ン 


最適 化 GCC 4.8.2 


Listing 1.288: 最適 化 GCC 4.8.2 


.L3: 


, 


- 
c 
p c 


この EDX は rt の 新た な バー ジョ 
スト ビッ ト が 1 の 場合 に 、 変 数 rt に 書き 込ま れる 


xor eax, 
xor ecx, 
mov rsi, 
lea edx, 


eax : 変数 rt は EAX レ ジス タ に 存在 
eCX : 変数 i は ECX レ ジス タ に 存在 
rdi ‚ 入力 値 を ロー ド 
[ rax+1 ] ; EDX=EAX+1 

ジン で 、 


shr rsi, cl ; RSI=RSI>>CL 
and esi, 1 ; ESI=ESI&1 
: ラス トビ ピット が 1 か ?② そ うな ら 、r/+ の 新た な バー ジョ ン を EAX に 書 
cmovne eax, edx 
add rex, 1 ; RCX++ 
cmp rcx, 64 
jne .L3 
rep ret ; fatret の 別名 


き 込 む 


402 


コー ド は 簡潔 で す が 、 曖 昧 な と ころ が あり ます 。 


これ まで の すべ て の 例 で は 、 特 定 の ビッ ト を 比較 し た 後に 「rt」 値 を イン クリ メン ト し て 
いま し た が 、 こ こ で コー ド は 「r」 を 先 に 増やし て (6 行 目 )、 新 し い 値 を レジ スタ EDX に 
書き 込み ます 。 し た が っ て 、 最 後 の ビ ッ ト が 1 で ある 場合 、CMOVNE+9+ 命令 (CMOVNZi^ と 
同義 ) は 、EDX (「 提 案 さ れ た rt 値 」) を EAX (最後 に リタ ー ン され る 「 現 在 の rt」) に 戻す 
こと に よっ て 新しい 値 「rt」 を コミ ッ ト し ます 。 

し た が っ て 、 ル ー プ の 各 ス テッ プ で 、 言 い 換 える と 64 回 入力 値 に 関係 な がく 、 イ ンク リ メ ン 
ト が 実行 され ます 。 

この コー ド の 利点 は 、2 つ の ジャ ンプ (ルー プ の 最後 で 「rt」 値 の イン クリ メン ト を スキ ッ 
プ す る ) で は な く 、 条 件 ジャ ンプ を 1 つ だ け (ルー プ の 最後 に ) 含む こと で す 。 そ し て 、 そ 
れ は 分 岐 予測 を 持つ 現代 の CPU で より 速く 動作 する で し ょ う : ?? on page ?? 
最後 の 命令 は 、MSVC に よっ て FATRET と も 呼ば れる REP RET (オペ コー ド F3 C3) で す 。 
これ は 、RET の いく ら か が 最適 化 さ れ た バー ジョ ン で あり 、RET が 条件 ジャ ンプ の 直後 に あ 
る 場合 、 AMD は 関数 の 最後 に 置く こと を 推奨 し て いま す : [Software Optimization Guide 
for AMD Family 16h Processors, (2013)p.15] 143. 


最適 化 MSVC 2010 


Listing 1.289: 最適 化 MSVC 2010 


a$ = 8 
f PROC 
; RCX = input value 
xor eax, eax 
mov edx, 1 
lea r8d, QWORD PTR [rax+64] 
; R8D=64 
npad 5 
$LL4@f : 
test rdx, rcx 


; 入力 値 に そん な 値 は 存在 し な い ? 
: それ な ら 次 の TNC 命令 に スキ ッ プ する 


je SHORT $LN3@f 

inc eax ; rt++ 
$LN3@f: 

rol rdx, 1 ; RDX=RDX<<1 

dec r8 ; R8-- 

jne SHORT $LL4@f 

fatret 0 
f ENDP 


ここ で は 、SHL の 代わ り に ROL 命令 が 使用 され て いま す 。 実際 に は 、「shift left」 で は な 
< [rotate left] で す が 、 こ の 例 で は SHL と 同じ よう に 動作 し ます 。 
ロー テー ト 命 令 の 詳細 に つい て は 、 こ ちら を ご 覧 くだ さい : ?? on page ?? 


141Conditional MOVe if Not Equal 
142Conditional MOVe if Not Zero 
143 詳 細 は こち ら : http://repzret.org/p/repzret/ 
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ここ の R8 は 64 か ら 0 ま で 数 えて いま す 。, を 逆 に し た よう な も の で す 。 
実行 中 の レジ スタ の テー ブル を 以下 に 示し ます 。 

RDX R8 
0x0000000000000001 | 64 
0x0000000000000002 | 63 


0x0000000000000004 | 62 
0x0000000000000008 | 61 


0x4000000000000000 | 2 
0x8000000000000000 | 1 


最後 に 、FATRET 命令 が あり ます が 、 そ れ は 1.21.5 on the preceding page で 説明 し ます 。 


最適 化 MSVC 2012 


Listing 1.290: 最適 化 MSVC 2012 


a$ = 8 
f PROC 
; RCX = input value 
xor eax, eax 
mov edx, 1 
lea r8d, QWORD PTR [rax+32] 
; EDX = 1, R8D = 32 
npad 5 
$LL4@f : 
; 1 を 渡す ------------------------------ 
test rdx, rex 
je SHORT $LN3@f 
inc eax ; rt++ 
$LN3@f: 
rol rdx, 1 ; RDX=RDX<<1 
Er c 
test rdx, rcx 
je SHORT $LN11@f 
inc eax ; rte 
$LN11@f : 
rol гах, 1 ; RDX=RDX<<1 
dec r8 ; R8-- 
jne SHORT $LL4@f 
fatret 0 
f ENDP 


最適 化 MSVC 2012 は 最適 化 さ れ た MSVC 2010 と ほとん ど 同 じ こ と を し ます が 、 ど うい 
うわ け か 、2 つ の 同じ ルー プ ボ ディ を 生成 し て 、 ル ー プ カウ ント が 64 で は な く 32 で す 。 
正直 な と ころ 、 な ぜ か は わか り ま せん 。 何 か 最 適 化 の トリ ッ ク で し ょ うか 。 ル ー プ ボディ 
を も う 少 し 長く し た ほう が よい の か も し れ ま せん 。 


404 
と に か く 、 コ ン パ イラ の 出力 が 本 当 に 奇妙 で 非 論理 的 な こと が あり ます が 、 こ の よう な コ 
ー ド は 完全 に 動作 する こと を 示す た め に あげ まし た 。 


ARM + 最適 化 Xcode 4.6.3 (LLVM) (ARM モ ー ド ) 


Listing 1.291: 最適 化 Xcode 4.6.3 (LIVM) (ARM モ ー ド ) 


MOV R1, RO 

MOV RO, #0 

MOV R2, #1 

MOV R3, RO 

loc 2E54 

TST R1, R2,LSL R3 ; R1 & (R2<<R3) に 従っ て フラ グ を 
эк ADD АЗ, ВЗ, #1 ; R3++ 

ADDNE RO, RO, #1 ; ZF フ ラグ が TST で クリ ア さ れ た 場合 
R0++ 

CMP АЗ, #32 

ВМЕ loc 2E54 

BX LR 


TST は x86 で は TEST と 同じ で す 。 


前 述 の よう に (?? on page ??)、ARM モ ー ド で は 個別 の シフ ト 命 令 は あり ませ ん 。 た だ し 、 
MOV. TST, СМР , ADD, SUB, RSB な どの 命令 に は 、LSL (Logical Shift Left), LSR 
(Logical Shift Right). ASR (Arithmetic Shift Right), ROR (Rotate Right). ВАХ (Rotate 
Right with Extend) が あり ます 。 


これ ら の 変更 子 は 、 第 2 オペ ラン ド の シフ ト 方 法 と ビッ ト 数 を 定義 し ます 。 
し た が っ て 、「TST R1, R2,LSL R3」 命 令 は ここ で は RlA(R2« R3) と し て 機能 し ます 。 


ARM + 最適 化 Xcode 4.6.3 (LLVM) (Thumb-2 モ ー ド ) 


ほぼ 同じ で す が 、Thumb モ ー ド で は LSL 修飾 子 を 直接 TST に 定義 むす る こと は で き な い た 
め 、1 つ の TST の 代わ り に 2 つの LSL.W/TST 命令 が 使用 され ます 。 


MOV R1, RO 
MOVS RO, #0 
MOV .W R9, #1 
MOVS R3, #0 

toc 2F7A 
LSL.W R2, R9, R3 
TST R2, R1 
ADD .W R3, R3, 41 
IT NE 
ADDNE RO, 41 
CMP R3, 432 
BNE loc 2F7A 


BX LR 
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ARM64 + 最適 化 GCC 4.9 
すでに 使用 し た 64 ビ ッ ト の 例 を 見 て み ま し ょ う : 1.21.5 on page 400 
Listing 1.292: 最適 化 GCC (Linaro) 4.8 


f: 
mov w2, 0 ; rt=0 
mov x5, 1 
mov wl, w2 
21225 
151 х4, х5, х1 ; МА = w5<<wl = 1<<1 
ааа w3, w2, 1 ; new_rt=rt+1 
tst x4, x0 ; (1<<i) & a 
add wl, wl, 1 ; i++ 


; TST の 結果 は 非 ゼ ロ か ? 


; そう な ら w2=w3 また は rt=new rt. 


: そう で な けれ ば w2=w2 また は rt=rt ( 


アイ ドル 演算 ) 


csel w2, w3, w2, 

cmp wl, 64 ; 1<64? 

bne . L2 ; は い 

mov w0, w2 ; rt を リタ ー ン 
ret 


結果 は 、GCC が x64 に 対し て 生成 する も の と 非常 に よく 似 て いま す : 1.288 on page 401 
CSEL 命令 は [Conditional SELect」 GF. TST で 設定 され た フラ グ に 応じ て 1 つの 変数 
が 2 つ だ け 選 択 さ れ 、 値 が 「rt」 変 数 を 保持 する W2 に コピ ー さ れ ま す 。 

ARM64 + 非 最適 化 GCC 4.9 


も う 一 度 、 す で に 使用 し た 64 ビ ッ ト の 例 に つい て 作業 し ます : 1.21.5 on page 400 例 に 
よっ て 、 コ ー ド は より 冗長 で す 。 


Listing 1.293: 非 最適 化 GCC (Linaro) 4.8 


f: 
sub sp, sp, #32 
str x0, [sp,8] ; "a" 値 を レジ スタ の 保存 エリ ア に 保存 
str wzr, [sp,24] ; rt=0 
str wzr, [sp,28] ; i-0 
b .L2 
‚14: 
tdr w0, [sp,28] 
mov x1, 1 
151 x0, x1, x0 ; X0 = X1««X0 = 1<<1 
mov x1, x0 
; X1 = 1<<1 
tdr x0, [sp,8] 
‚ХӨ = a 
and x0, x1, x0 


; ХӨ = X1&X0 = (1<<1) & a 


; X0 は ゼロ を 含む か ? そ うなら 、 


стр 


x0, xzr 


.L3 に ジャ ンプ し 、"rt" イン クリ メン ト を スキ ッ プ 
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beq .L3 
> rte 
ldr w0, [sp,24] 
add w0, м0, 1 
str w0, [sp,24] 
.L3: 
; lt 
tdr w0, [sp,28] 
add w0, w0, 1 
str w0, [sp,28] 
.L2: 
; 1<=63 か ? そ うな ら .L4 に ジャ ンプ 
tdr w0, [sp,28] 
cmp w0, 63 
ble .L4 
; rt を リタ ー ン 
ldr w0, [sp,24] 
add sp, sp, 32 
ret 


MIPS 


非 最 適 化 GCC 


Listing 1.294: 非 最適 化 GCC 4.4.5 (IDA) 


f 


rt 
i 
var 4 
a 


; rt を 初 


-0x10 


Won H I 
' 
D 


addiu 
Sw 
move 
Sw 


Sw 
Sw 


; TDA は 変数 名 を 知ら な い の で 、 手動 で 与え ます 


$sp, -0x18 

$fp, 0x18+var_4($sp) 
$fp, $sp 

$a0, 0x18+a($fD ) 


期 化し 、i 変 数 を 9 に し ます 


$zero, Ox18+rt($fD) 
$zero, Ox18+i ($fD ) 


: ルー プチ ェ ッ ク 命 令 に ジャ ンプ 


loc 20: 


; $v0 = 1<<і 


b 
or 


li 
lw 
or 
sllv 


move 
lw 


loc 68 


$at, $zero ; 分 岐 遅延 スロ ッ ト , NOP 


$v1, 1 

$v0, 0x18+i($fp) 
gat, $zero ; 遅延 スロ 
$V0, $vl, $v0 


$v1, $v0 
$v0, 0x18+a($fp) 


ッ ト を ロー ド , NOP 
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or $at, $zero ; 遅延 スロ ッ ト を ロー ド , МОР 
and $V0, $vl, $v0 
; $v0 = a & (1<<1 ) 
за & (1<<i) は ゼロ と 等 し いか ? 等 し けれ ば toc 58^ 
bedz $v0, loc 58 


or $at, $zero 

; no jump occurred, that means a & (1««i)!-0, so increment "rt" then: 
lw $v0, Ox18+rt($fp) 
or gat, $zero : 遅延 スロ ッ ト を ロー ド , NOP 
addiu $v0, 1 
SW $v0, 0x18+rt($fp) 

loc 58: 

+ 1.222721) X 2 F: 
lw $v0, 0x18+i($fp) 
or gat, $zero ; 遅延 スロ ッ ト を ロー ド , NOP 
addiu $v0, 1 
SW $v0, 0x18+i($fp) 

loc 68: 


; load 1 を ロー ド し 6x26 (32) と 比較 
; 0x20 (32) 未満 の 場合 oc 20 に ジャ ンプ : 
tw $v0, 0x18+i($fp) 
or gat, $zero ; 遅延 スロ ッ ト を ロー ド , NOP 
slti $v0, 0x20 Z ' ' 
bnez $v0, loc 20 


or $at, $zero ; 分 岐 遅延 スロ ッ ト , NOP 
; 関数 エピ ロー グ 。rt を リタ ー ン 

lw $v0, Ox18+rt($fp) 

move $sp, $fp ; 遅延 スロ ッ ト を ロー ド 

tw $fp, Ox18+var 4($sp) 

addiu $sp, 0x18 : 遅延 スロ ッ ト を ロー ド 

jr $ra 

or $at, $zero : 分 岐 遅延 スロ ッ ト , NOP 


これ は 冗長 で す 。 ローカル 変数 は すべ て ロー カル スタ ッ ク に 配置 され 、 必 要 な と き 毎 に リ 
ロー ド さ れ ま す 。 


SLLV 命令 は 「Shift Word Left Logical Variable] で 、SLL と の 違い は SLL 命令 に エン コ 
ー ド され た シフ ト の 量 だ け で す 。( そ し て 結果 と し て 固定 され て いま す ) し か し 、SLLV は 
レジ スタ か ら シ フト 量 を 取っ て きま す 。 


最適 化 GCC 


これ は より 簡潔 で す 。1 つ で は な く 2 つ シフ ト 命 令 が あり ます が 、 な ぜ で し ょ うか ? 


最初 の SLLV 命令 を 2 つめ の SLLV に ジャ ンプ する 無 条 件 分 岐 命令 に 置き 換え る こと は 可 
能 で す 。 し か し 、 こ れ は 関数 内 の 別 の 分 岐 命令 で あり 、 常 に それ ら を 取り 除く の は 好都合 
で す :?? on page ?? 


Listing 1.295: 最適 化 GCC 4.4.5 (IDA) 
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f 
; $a0=a 
; 変数 rt は $v0 に 存在 する 
move $v0, $zero 
; 変数 1 は $v1 に 存在 する 
move $vl, $zero 
li $t0, 1 
li $a3, 32 


sllv $al, $10, $V1 
; $al = $t0<<$vl = 1<<1 


loc_14: 
and $al, $a0 
; $al = а&(1<<1) 
; 1 を イン クリ メン ト 
addiu $v1, 1 
; a&(1<<1 ) ==9 な ら tLoc 28 に ジャ ンプ し rt を イン クリ メン ト 
bedz $a1, toc 28 
addiu $a2, $v0, 1 
; BE0Z が 実行 され な けれ ば 、 更新 し た rt を $Vv0 に 保存 


move $v0, $a2 
loc 28: 
; ュ 1!=32 な ら 、toc 14 に ジャ ンプ し 、 次 の シフ ト し た 値 を 準備 
bne $v1, $a3, toc 14 
sllv gal, $10, $v1 
,: リタ ー ン 
jr $ra 
or $at, $zero ; 分 岐 遅 延 ス ロッ ト 、NOP 
第 1.21.6 節 結論 


C/C++ の シフ ト 演 算 子 < お よび > と 同様 に 、x86 の シフ ト 命 令 は SHR/SHL (符号 な し 
の 値 ) と SAR/SHL (符号 付き の 値 ) で す 。 


ARM の シフ ト 命 令 は 、LSR/LSL (符号 な し 値 の 場合 ) と ASR/LSL (符号 付き 値 の 場合 ) で 
す 。 


シフ ト サ フ ィ ッ クス を いく つか の 命令 (「 デ ー タ 処理 命令 」 と 呼ば れ ま す ) に 追加 する こと 
も で きま す 。 
特定 の ビッ ト を チェ ッ ク す る (コン パイ ル 段 階 で 知ら れ て いる ) 
0b1000000 ビ ッ ト (0x40) が レジ スタ の 値 に 存在 する か どう か を テス ト し ます 。 
Listing 1.296: C/C++ 


if (input&0x40) 


Listing 1.297: x86 
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TEST REG, 40h 
JNZ is_set 
; ビッ ト は セッ ト さ れ て いな い 


Listing 1.298: x86 


TEST REG, 40h 
JZ is_cleared 
; ビッ ト は セッ ト 


Listing 1.299: ARM (ARM モ ー ド ) 


TST REG, #0x40 
BNE is set 
; ビッ ト は セッ ト さ れ て いな い 


場合 に よっ て は 、TEST の 代わ り に AND が 使用 され ます が 、 設 定 さ れる フラ グ は 同じ で す 。 


特定 の ビッ ト を チェ ッ ク す る (実行 時 に 指定 する ) 


これ は 通常 、 こ の C/C++ コー ドス ニ ペ ッ ト に よっ て 行わ れ ま す (n ビッ ト 右 に シフ ト し 、 
次 に 最 下 位 ビ ッ ト を カッ ト し ます )。 


Listing 1.300: C/C++ 


if ((value>>n)&1) 


これ は 通常 、x86 コ ー ド で 次 の よう に 実装 され て いま す 。 
Listing 1.301: x86 


; REG=input value 
; CL=n 

SHR REG, CL 

AND REG, 1 


また は (1 ビッ ト 左 シフ ト を ヵ 回 、 入 力 値 で この ビッ ト を 分 離し 、 ゼ ロ で な いか どう か を 
チェ ッ ク す る ) 


Listing 1.302: C/C++ 


if (value & (1<<п)) 


これ は 通常 、x86 コ ー ド で 次 の よう に 実装 され て いま す 。 
Listing 1.303: x86 


; CL=n 

MOV REG, 1 

SHL REG, CL 

AND input value, REG 
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特定 の ビッ ト を 設定 する (コン パイ ル 時 に 知ら れ て いる ) 
Listing 1.304: C/C++ 


value-value|0x40; 


Listing 1.305: x86 


OR REG, 40h 


Listing 1.306: ARM (ARM E — F) and ARM64 


ORR RO, RO, #0x40 


特定 の ビッ ト を 設定 する (実行 時 に 指定 する ) 


Listing 1.307: C/C++ 


vatue=vatue | (1<<n); 


これ は 通常 、x86 コ ー ド で 次 の よう に 実装 され て いま す 。 
Listing 1.308: x86 


; CL=n 

MOV REG, 1 

SHL REG, CL 

OR input value, REG 


明確 な 特定 の ビッ ト (コン パイ ル 段 階 で 知ら れ て いる ) 
逆 の 値 で AND 演算 を 適用 する だ け で す : 
Listing 1.309: C/C++ 


value=value&(-0x40); 


Listing 1.310: x86 


AND REG, OFFFFFFBFh 


Listing 1.311: x64 


AND REG, OFFFFFFFFFFFFFFBFh 


これ は 、 実 際 に は 、1 を 除い て すべ て の ビッ ト を 設定 し て いま す 。 


ARM モ ー ド の ARM に は BIC 命令 が あり ます 。 これ は NOT +AND 命令 ペア の よう に 動作 し 
ます 。 


Listing 1.312: ARM (ARM モ ー ド ) 


BIC RO, RO, #0x40 
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特定 の ビッ ト を クリ ア (実行 時 に 指定 ) 


Listing 1.313: C/C++ 


value-value&(-(1««n)); 


Listing 1.314: x86 


; CL=n 

MOV REG, 1 

SHL REG, CL 

NOT REG 

AND input value, REG 


第 1.21.7 節 練習 問題 
• http://challenges. re/67 
• http://challenges. re/68 
・ http://challenges.re/69 
* http://challenges.re/70 


第 1.22 節 擬似 乱数 生成 器 と し て の 線形 合同 生成 器 


お そら く 、 線 形 合同 ジェ ネ レ ー タ は 、 乱 数 を 生成 する た め の 最も 簡単 な 方 法 で す 。 


今日 で は 194 選 択 さ れ ま せん が 、 と て も 単純 で す (1 回 の 乗算 、1 回 の 加算 と AND 演 算 )。 こ 
れ を 例 と し て 使用 で きま す 。 


#include <stdint.h> 

// ニュ ー メ リカ ルレ シ ピ 本 か ら と っ た 定数 
#define RNG a 1664525 

#define RNG c 1013904223 


static uint32 t rand state: 


void my_srand (uint32 t init) 


1 
rand state-init; 
} 
int my_rand () 
{ 
rand state=rand state*RNG a; 
rand state=rand state+RNG c; 
return rand state & Ox7fff; 
} 


144 メ ル セ ン ヌ ツ イス ター の 方 が いい で す 
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2 つの 関数 が あり ます : 最初 の も の は 内 部 状態 を 初期 化す る た め に 使用 され 、2 つ 目 は 擬似 
乱数 を 生成 する た め に 呼び 出さ れ ま す 。 


アル ゴリ ズム で は 2 つの 定数 が 使用 され て いる こと が わか り ま す 。 それら は [William H. 
Press and Saul A. Teukolsky and William T. Vetterling and Brian P. Flannery, Numerical 
Recipes, (2007)] か ら 取 られ て いま す 。 


#define C/C++ 命令 文 を 使っ て それ ら を 定義 し まし ょ う 。 これ は マク ロ で す 。 


C/C++ マク ロ と 定数 の 違い は 、 す べ て の マク ロ が C/C++ プリ プロ セッ サ で その 値 に 置 
換 さ れ 、 変 数 と 異な り メ モリ を 使用 し な いこ と で す 。 


対照 的 に 、 定 数 は 読み 取り 専用 変数 で す 。 
定数 変数 の ポイ ンタ (また は アド レス ) を 取る こと は 可能 で す が 、 マ クロ で は で きま せん 。 


C 標 準 の my rand( ) は 0 か ら 32767 の 範囲 の 値 を 返さ な けれ ば な ら な いた め 、 最 後 の AND 演 
算 が 必要 で す 。 


32 ビ ッ ト の 擬似 乱数 値 を 取得 する 場合 は 、 最 後 の AND 演 算 を 省略 し て くだ さい 。 


第 1.22.1 節 x86 


Listing 1.315: 最適 化 MSVC 2013 


_BSS SEGMENT 
rand state DD 601H DUP (?) 


_BSS ENDS 

_init$ = 8 

_srand PROC 
mov eax, DWORD PTR  init$[esp-4] 
mov DWORD PTR _rand_state, eax 
ret 0 

 srand ENDP 

TEXT | SEGMENT 

rand | PROC 
imul eax, DWORD PTR rand state, 1664525 
add eax, 1013904223 ; 3c6ef35fH 
mov DWORD РТА гапа state, eax 
and eax, 32767 ; 00007fffH 
ret 0 

rand ЕМОР 

TEXT ENDS 


ここ で は 、 両 方 の 定数 が コー ド に 埋め 込ま れ て いま す 。 割り当て られ た メモ リ は あり ませ 
ん 。 


my srand( ) 関数 は 入力 値 を 内 部 の rand state 変数 に コピ ー す る だ け で す 。 


my rand( ) は それ を 受け 取り 、 次 の rand state を 計算 し 、 そ れ を 切り 取り 、EAX レ ジ 
スタ に 残し ます 。 


最適 化 さ れ て いな い バ ー ジ ョ ン は より 冗長 で す 。 
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Listing 1.316: 非 最適 化 MSVC 2013 


_BSS SEGMENT 
rand state DD 01Н DUP (?) 


_BSS ENDS 

_init$ = 8 

_srand PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR init$[ebp] 
mov DWORD PTR гапа state, eax 
pop ebp 
ret 0 

 srand ENDP 

TEXT | SEGMENT 

rand PROC 
push ebp 
mov ebp, esp 
imul eax, DWORD PTR rand state, 1664525 
mov DWORD РТА гапа state, eax 
mov ecx, DWORD PTR rand state 
add ecx, 1013904223 ; 3c6ef35fH 
mov DWORD PTR rand state, ecx 
mov eax, DWORD PTR rand state 
and eax, 32767 ; 00007fffH 
pop ebp 
ret 0 

rand ENDP 

TEXT ENDS 

第 1.22.2 節 x64 


x64 の バー ジョ ン は ほとん ど 同 じ で 、64 ビ ッ ト で は な く 32 ビ ッ ト の レジ スタ を 使用 し て い 
kd, (C < G int 値 を 使用 し て いる た めで す ) 


し か し 、nmy srand( ) は 入力 引数 を スタ ッ ク か ら で は な く ECX レジ スタ か ら 取 り ま す : 
Listing 1.317: 最適 化 MSVC 2013 x64 


_BSS SEGMENT 
rand state DD 01H DUP (?) 


_BSS ENDS 

init$ = 8 

my srand PROC 

; ECX = 入力 引数 
mov DWORD PTR rand state, ecx 
ret 0 


my_srand ENDP 


TEXT | SEGMENT 
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my_rand PROC 
imul eax, DWORD PTR rand_state, 1664525 ; 0019660dH 


add eax, 1013904223 ; 3c6ef35fH 
mov DWORD PTR rand state, eax 
and eax, 32767 ; 00007fffH 
ret 0 


my rand ENDP 


TEXT ENDS 


GCC コン パイ ラ は ほとん ど 同 じ コ ー ド を 生成 し ます 。 


第 1.22.3 節 32 ビ ッ ト ARM 


Listing 1.318: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


my srand PROC 


LDR r1,|L0.52| : ポイ ンタ を rand state に ロー ド 
STR ro,[r1,20] ; rand state を 保存 
BX tr 
ENDP 
my rand PROC 
LDR r0, |L0.52] : ポイ ンタ を rand state に ロー ド 
LDR r2,|L0.56| ; RNG a を ロー ド 
LDR rl,[r0,20] ; rand state を ロー ド 
MUL rl,r2,r1 
LDR r2,|L0.60| ; RNG с®п—К 
ADD rl,r1,r2 
STR rl,[r0,20] ; rand state を 保存 
; AND with Ox7FFF: 
LSL г0,г1,#17 
LSR r0,r0,#17 
BX tr 
ENDP 
IL6.52| 
DCD || .datal | 
IL6.56| 
DCD 0x0019660d 
IL6.66| 
DCD 0x3c6ef35f 


AREA ||.data||, DATA, ALIGN-2 


rand state 
DCD 0x00000000 


32 ビ ッ ト 定 数 を ARM 命 令 に 埋め 込む こと は で き な い た め 、Keil は それ ら を 外部 に 配置 し 
て 追加 する 必要 が あり ます 。 興 味 深い こと に 、0x7FFF 定 数 も 埋め 込む こと は で きま せん 。 
Keil が や っ て いる の は 、rand state を 17 ビ ッ ト 左 に シフ ト し 、 右 に 17 ビ ッ ト シ フト する 
こと で す 。 これ は 、C/C++ の (rand state < 17) > 17 命令 文 に 似 て いま す 。 それ は 役 に 立 
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た な い 操 作 だ と 思わ れ ま す が 、 そ れ は 17 ビ ッ ト を クリ ア し て 15 ビ ッ ト を その まま に し て 、 
これ が 結局 の と ころ 私 た ちの 目標 で す 。 


Thumb モ ー ド の 最適 化 Keil は ほとん ど 同 じ コ ー ド が 生成 し ます 。 


第 1.22.4 節 MIPS 
Listing 1.319: 最適 化 GCC 4.4.5 (IDA) 

my Srand: 
; $a0 に rand state を 保存 

lui $v0, (rand state >> 16) 

jr $ra 

SW $a0, rand_state 
my_rand: 
; rand state% $v0 に ロー ド 

lui $v1, (rand state >> 16) 

lw $v0, rand state 

or gat, $zero ; ロー ド 遅 延 ス ロッ ト 
; rand state に 1554525 (RNG а) を 乗算 し た 結果 を $v0 に 

sll $al, $v0, 2 

sll $a0, $v0, 4 

addu $a0, $a1, $a0 

sll $a1, $a0, 6 


subu $a0, $a1, $a0 
addu фаб, $v0 


sll $al, $a0, 5 
addu $a0, $al 

sll $a0, 3 

addu $v0, $a0, $vO 
sll $a0, $v0, 2 


addu $v0, $a0 
; 1013904223 (RNG c) を 加算 
; LT 命令 は TDA が LUT と ORI を 合体 し た も の 
li $a0, 0x3C6EF35F 
addu $v0, $а0 
; гапа state を 保存 
sw $v0, (rand state & OxFFFF ) ($v1) 
jr $га 
апа1 $v0, Ox7FFF : 分 岐 遅 延 ス ロッ ト 


お っ と 、 こ こ で は 1 つの 定数 (0x3C6EF35F ま た は 1013904223) し か 表示 され ませ ん 。 も 
う 1 つ は どこ で し ょ うか (1664525) ? 


1664525 に よる 乗算 は 、 シ フト と 加算 だ け を 使用 し て 実行 され る よう で す ! この 仮定 を 確 
認 し て み ま し ょ う : 


#define RNG a 1664525 


int f (int a) 
{ 


} 


return a*RNG_a; 
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Listing 1.320: 最適 化 GCC 4.4.5 (IDA) 


f 
sll $vl, $a0, 2 
sll $v0, $a0, 4 
addu $v0, $vl, $v0 
sll $v1, $v0, 6 
subu $V0, $vl, $v0 
addu $v0, $a0 
sll $v1, $v0, 5 
addu $v0, $у1 
sll $v0, З 
addu фаб, $v0O, $a0 
sll $v0, $a0, 2 
jr $ra 
addu $v0, $a0, $v0 ; branch delay slot 
本 当 に ! 
MIPS の 再 配 置 


また 、 メ モリ や スト ア か ら 実 際 に メモ リ に ロー ド す る 操作 が どの よう に 機能 する か に も 焦 
点 を 当て ます 。 


ここ の リス ト は IDA に よっ て 作成 され 、IDA は いく つか の 詳細 を 隠し て いま す 。 
objdump を 2 回 実行 し ます : 逆 ア セン ブル され た リス ト と 再 配 置 リ スト を 取得 し ます 。 
Listing 1.321: 最適 化 GCC 4.4.5 (objdump) 


# objdump -D rand 03.o 


00000000 <my_srand>: 


0: 3c020000 lui v0,0x0 

4: 03e00008 jr ra 

8: ac440000 SW a0,0(v0) 

0000000c «my rand»: 

C: 3c030000 lui v1,0x0 
10: 8c620000 lw v0,0(v1) 
14: 00200825 move at,at 
18: 00022880 sll al,v0,0x2 
1c: 00022100 sll a0,v0,0x4 
20: 00242021 addu a0,a1,a0 
24: 00042980 sll al,a0,0x6 
28: 00242023 subu a0,a1,a0 
2c: 00822021 addu a0,a0,v0 
30: 00042940 sll al,a0,0x5 
34: 00852021 addu aQ,a0,al 
38: 000420c0 sll a0,a0,0x3 
3c: 00821021 addu v0,a0,v0 
40: 00022080 sll a0,v0,0x2 


44: 00441021 addu v0, v0,a0 
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48: 3c043c6e lui a0,0x3c6e 
4c: 3484f35f ori a0,a0,0xf35f 
50: 00441021 addu v0,v0,a0 

54: ac620000 SW v0,0(v1) 

58: 03e00008 jr ra 

5c: 30427fff andi v0, v0,0x7f ff 


# objdump -r rand_03.0 


RELOCATION RECORDS FOR [.text]: 


OFFSET TYPE VALUE 
00000000 R MIPS HI16 .bss 
00000008 R MIPS LO16 .bss 
0000000c R MIPS HI16 .bss 
00000010 R MIPS LO16 .bss 
00000054 R MIPS 1016 .bss 


my_srand() 関数 の 2 つの 再 配置 を 考え て み ま し ょ う 。 


最初 の アド レス 0 は R MIPS HI16 の タイ プ を 持ち 、 ア ドレ ス 8 の 2 番目 の アド レス は 
А MIPS 1016 の タイ プ で す 。 


つま り 、.bss セ グ メ ント の 先頭 の アド レス は 、0 (アド レス の 上 位 部 分 ) お よび 8 (アド レ 
ス の 下位 部 分 ) の アド レス に 書き 込ま れる こと を 意味 し ます 。 


rand state 変数 は 、.bss セ グ メ ント の 先頭 に あり ます 。 


し た が っ て 、 命 令 LUI と SMw の オペ ラン ド に は ゼロ が あり ます 。 何 も まだ 存在 し な いか ら 
で す 。 コンパ イラ は 何 を そこ に 書き 込ん だ らい いか わか り ま せん 。 


リン カ が これ を 修正 し 、 ア ドレ ス の 上 位 部 分 が LUI の オペ ラン ド に 書き 込ま れ 、 ア ドレ ス 
の 下位 部 分 が SW の オペ ラン ド に 書き 込ま れ ま す 。 


SW は アド レス の 下位 部 分 と レジ スタ $V0 に ある も の を 合計 し ます (上 位 部 分 は そこ に あ 


これ は my rand() 関数 の 場合 と 同じ で す 。R MIPS HI16 再 配置 は 、 リ ンカ に .bss セ グ メ 
ント アド レス の 上 位 部 分 を LUI 命令 に 書き 込む よう に 指示 し ます 。 


し た が っ て 、rand state 変数 アド レス の 上 位 部 分 は レジ スタ $V1 に 存在 し ます 。 


アド レス 0x10 に ある LW 命令 は 、 上 位 部 分 と 下位 部 分 を 合計 し 、rand state 変数 の 値 を 
$VO に ロー ド し ます 。 


アド レス 0x54 に ある SW 命令 は 、 加 算 を 再度 行い 、 新 し い 値 を rand_state グ ロー バル 変数 
に 格納 し ます 。 


IDA は 、 ロ ー ド 中 に 再 配置 を 処理 する た め 、 こ れ ら の 詳細 は 隠し て いま す が 、 そ れ ら を 念頭 
に 置い て お く 必 要 が あり ます 。 
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第 1.22.5 節 スレ ッ ド セー フ 版 の 例 
この 例 の スレ ッ ド セー フ 版 は 、 後 で 説明 し ます : ?? on page ?? 


第 1.23 節 構造 体 


C/C++ 構造 体 は いく つか の 前 提 が あり 、 単 な る 変数 の 集合 で あり 、 常 に 一 緒 に メモ リ に 


格納 され 、 同 じ 型 の 必要 は あり ませ ん 11° 


第 1.23.1 節 MSVC: SYSTEMTIME example 
時 間 を 表現 する SYSTEMTIME1“? win32 構 造 体 を と りあ げ ま し ょ う 。 
この よう に 定義 され ます 。 

Listing 1.322: WinBase.h 


typedef struct SYSTEMTIME { 
WORD wYear; 
WORD wMonth; 
WORD wDayOfWeek; 
WORD wDay; 
WORD wHour; 
WORD wMinute; 
WORD wSecond; 
WORD wMilliseconds; 
) SYSTEMTIME, *PSYSTEMTIME; 


現在 時 刻 を 取得 する C の 関数 を 書い て み ま し ょ う 。 


#include «windows.h» 
#include <stdio.h> 
void main() 
{ 
SYSTEMTIME t; 
GetSystemTime (&t); 
printf ("%04d-%02d-%02d %02d:%02d:%02d\n", 
t.wYear, t.wMonth, t.wDay, 
t.wHour, t.wMinute, t.wSecond) ; 
return; 
}; 


次 の 結果 を 得 ま す 。(MSVC 2010) 
Listing 1.323: MSVC 2010 /GS- 


| ts = -16 ; size = 16 


ISAKA 「 異 種 コ ン テ ナ で す 」 
146MSDN: SYSTEMTIME structure 
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_main 
push 
mov 
sub 
lea 
push 
call 
movzx 
push 
movzx 
push 
movzx 
push 
movzx 
push 
movzx 
push 
movzx 
push 
push 
call 
add 
xor 
mov 
pop 
ret 

_main 


PROC 

ebp 

ebp, esp 

esp, 16 

eax, DWORD PTR t$[ebp] 

eax 

DWORD PTR imp  GetSystemTime@4 
ecx, WORD PTR t$[ebp+12] ; wSecond 
ecx 
edx, 
edx 
eax, 
eax 
ecx, 
ecx 
edx, 
edx 
eax, 
eax 
OFFSET $SG78811 ; 
| printf 

esp, 28 

eax, eax 

esp, ebp 

ebp 

0 

ENDP 


WORD РТА t$[ebp+10] ; wMinute 


WORD PTR t$[ebp+8] ; wHour 


WORD PTR t$[ebp«6] ; wDay 


WORD PTR t$[ebp+2] ; wMonth 


WORD PTR t$[ebp] ; wYear 


'%04d-%02d-%02d %02d:%02d:%02d', OaH, OOH 


16 バ イト が ロー カル スタ ッ ク 上 に 構造 体 の た め に 確保 され て いて 、 


これ は ちょ うど 


sizeof (WORD)*8 で す 。 (構造 体 に ある WORD 変 数 8 つ 分 で す ) 


構造 体 は wyYear フィ ー ル ド か ら 始 まる と いう 事実 に 注意 し て くだ さい 。 


SYSTEMTIME 構 


造 体 へ の ポイ ンタ が GetSystemTime( ) “7 に 渡さ れ ま す が 、wYear フィ ー ル ド へ の ポイ 
ンタ が 渡さ れ て いる と も 言え ます 。 そ し て これ は 同じ で す ! GetSystemTime( ) は 現在 の 
年 を WORD ポ イン タ が 示す と ころ に 書き 込み 、 そ れ か ら 2 バ イト を 前 方 に シフ ト し 、 現 在 
の 月 を 書き 込み 、 な ど な ど 。 


147MSDN: SYSTEMTIME structure 
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OllyDbg 


この 例 を /GS- /MD オプ ショ ン 付 き で MSVC 2010 で コン パイ ル し OllyDbg で 実行 し て み 
に 

デー タ の ウィ ンド ウ を 開き 、GetSystemTime( ) 関数 の 最初 の 引数 と し て 渡さ れ た アド レ 
ス に スタ ッ ク し 、 実 行 さ れる まで 待機 し まし ょ う 。 こ の よう に な り ま す 。 


CPU - main thread, module ーー E 


T 
CLOCAL. 41 


| DS: [<&KERNEL32. GetSustem 

) PTR SS: CLOCAL. 1] Е Pas: 
кн е SI 00000001 

БЕСЕ ЕКЕ] : 00993398 systentine. 

: [LnCHL.2] i 00991010 temt ime. 00991010 


ICAL 3+2 aco @(ЕЕЕЕЕЕЕЕ) 
: [LOCAL. 942] E B(FFFFFFFF) 
; Ü B(FFFFFFFF) 


д 10 0; SS: [LOCRL.4+21 А 1 g(FFFFFFFF) 
Й Z#EFDD080808( FFF) 
Stack [@02EFB601=0034 Е A 
ECX=ggggg3D4 (decimal 980.) A PIEEEEREEEE3 
LastErr 00000000 ERROR SUCCESS 
E,BE,NS,PE,GE,LE) w 
[uU untu „ы 


ADE о? ос 99 o2 оо оэ ва 16 00 10 ва 34 00 D4 еЗ. 3 а ШИРЕ 6han 


私 の コン ピュ ー タ 上 で の 関数 の シス テム 時 間 は 2014 年 12 月 9 日 、22 時 29 分 52 秒 で す 。 
Listing 1.324: printf() output 


2014-12-09 22:29:52 


この よう な 16 バ イト を デー タウ ィ ン ド ウ に みる こと が で きま す 。 


DE 07 0С 00 02 00 09 00 16 00 1D 00 34 00 D4 03 


各 2 バ イト が 構造 体 の フィ ー ル ド を 表し ます 。 endianness は リト ル エ ン デ ィ ア ン な の で 、 
低位 バイ ト が 最初 に 見 え 、 高 位 バ イト が その 後 で す 。 


し た が っ て 、 こ れ ら は 現在 メモ リ に 格納 され て いる 値 で す 。 


16 進 数 | 10 進 数 | フィ ー ル ド 名 
0x07DE | 2014 wYear 
0x000C | 12 wMonth 
0x0002 | 2 wDayOfWeek 
0x0009 | 9 wDay 
0x0016 | 22 wHour 
0x001D | 29 wMinute 
0x0034 | 52 wSecond 
0x03D4 | 980 wMilliseconds 
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同じ 値 が スタ ッ ク ウ ィ ン ド ウ に 表示 され ます が 、32 ビ ッ ト の 値 と し て グル ー プ 分 けさ れ て 
いま す 。 
そし て 、printf( ) は 必要 な 値 だ け を 取り 出し て コン ソー ル に 出力 し ます 。 


いく つか の 値 は printf( ) (wDayOfWeek と wMilliseconds) に よっ て 出力 され ませ ん 
が 、 使 用 可能 な メモ リ 上 に あり ます 。 


構造 体 を 配列 で 置き 換え る 


構造 体 の フィ ー ル ド は 単に 隣り 合っ た 変数 で 、 以 下 の よ うに する こと で 簡単 に デモ ンス ト 
レー ショ ン で きま す 。 SYSTEMTIME 構造 体 の 表現 を 覚え て お いて 、 こ の 簡単 な 例 を この よ 
うに 書き 換え る こと が 可能 で す 。 


#include «windows.h» 
#include <stdio.h> 


void main() 


{ 
WORD array[8]; 
GetSystemTime (array); 
printf ("%04d-%02d-%02d %02d:%02d:%02dNn", 
array[0] /* wYear */, array[1] /* wMonth */, array[3] /* wDay */, 
array[4] /* wHour */, array[5] /* wMinute */, array[6] /* wSecond 7 
S */); 
return; 
}; 


コン パイ ラ は 少し 不満 を 言い ます 。 


systemtime2.c(7) : warning C4133: 'function' : incompatible types - from '2 
s WORD [8]' to 'LPSYSTEMTIME' 


と は いえ 、 こ の よう な コー ド を 生成 し ます 。 
Listing 1.325: 非 最適 化 MSVC 2010 


$SG78573 DB '%04d -%02d-%02d %02d:%02d:%02d', OaH, OOH 
_array$ = -16 ; size = 16 
_main PROC 

push ebp 

mov ebp, esp 

sub esp, 16 

lea eax, DWORD PTR _array$[ebp] 

push eax 


call DWORD РТА _ imp_ GetSystemTime@4 
movzx ecx, WORD PTR array$[ebp+12] : wSecond 


push ecx 
movzx edx, WORD PTR array$[ebp+10] ; wMinute 
push edx 


movzx eax, WORD PTR _array$[ebp+8] ; wHoure 
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push eax 
movzx есх, WORD PTR _array$[ebp+6] ; мау 
push ecx 
movzx edx, WORD PTR _array$[ebp+2] ; wMonth 
push edx 
movzx eax, WORD PTR _array$[ebp] ; wYear 
push eax 
push OFFSET $5G78573 ; '%04d-%02d-%02d %02d:%02d:%02d', OaH, OOH 
call _ printf 
add esp, 28 
xor eax, eax 
mov esp, ebp 
pop ebp 
ret 0 
main ENDP 
そし て 同じ よう に 機能 し ます ! 


アセ ンプ ブリ 形式 の 結果 が 前 の コン パイ ル の 結果 と 区 別 で き な い こと は 非常 に 興味 深い こと 
G+, 


だ か ら 、 こ の コー ド を 見 て 、 構 造 体 が 宣言 され て いる か 、 配 列 な の か は は っ きり と 言う 
と が で きま せん 。 


と は いえ 、 普 通 の 人 は 都合 が よい わけ で は な い の で こう いう こと は し ませ ん 。 


T i МГ. 
あり ます 。 


この 例 は 、 構造 体 の 場合 と まっ た く 同 じ で ある た め 、 OllyDbg で は この 例 を 学習 し ませ ん 。 


миз 告 体 の た め の 領 域 を 割り 当て よう 


合 に よっ て は 、 ロ ー カ ルス タッ ク で は な く ヒ ー ブ プ 内 に 構造 体 を 配置 する 方 が 簡単 な 場合 
あり ます 。 


#include <windows.h> 
#include <stdio.h> 


void main() 
{ 
SYSTEMTIME *t; 
t=(SYSTEMTIME *)malloc (sizeof (SYSTEMTIME)); 
GetSystemTime (t); 
printf ("%04d-%02d-%02d %02d:%02d:%02dNn", 
t->wYear, t->wMonth, t->wDay, 
t->wHour, t->wMinute, t->wSecond); 


free (t); 


return; 
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12; 


最適 化 (7/0x ) で コン パイ ル し て 、 必 要 な も の を 見 る の は 簡単 で す 。 
Listing 1.326: 最適 化 MSVC 


_main PR0C 
push esi 
push 16 
call malloc 
add esp, 4 
mov esi, eax 
push esi 


call DWORD PTR imp GetSystemTime@4 
movzx eax, WORD PTR [esi+12] ; wSecond 
movzx есх, WORD PTR [esi+10] ; wMinute 
movzx edx, WORD PTR [esi+8] ; wHour 


push eax 

movzx eax, WORD PTR [esi+6] ; wDay 
push ecx 

movzx есх, WORD PTR [esi+2] ; wMonth 
push edx 

movzx edx, WORD PTR [esi] ; wYear 
push eax 

push ecx 

push edx 


push OFFSET $56G78833 
call printf 


push esi 
call free 
add esp, 32 
xor eax, eax 
pop esi 
ret 0 

main ENDP 


し た が っ て 、sizeof (SYSTEMTIME = 16 で あり 、 こ れ は malloc 0 に よっ て 割り 当て ら 
れる 正確 な バイ ト 数 で す 。EAX レジ スタ 内 の 新しく 割り 当て られ た メモ リブ ロッ ク へ の ポ 
イン タ を 返し 、ESTI レジ スタ に 移動 し ます 。GetSystemTime( ) win32 関 数 は ESI の 値 を 
保存 する た め 、 こ こ で 保存 され ず 、GetSystemTime( ) 呼び 出し の 後 も 引き 続き 使用 され 
#9 


新しい 命令 —MOVZX (Move with Zero eXren9)。 ほ と ん どの 場合 、 MOVSX と し て 使用 で き 
ます が 、 残 り の ビッ ト は 0 に 設定 され ます 。 これ は printf( ) が 32 ビ ッ ト の int を 必要 と 
する た めで す が 、 構 造 体 に WORD が ある た めで す 。 つ まり 、16 ビ ッ ト の 符号 な し 型 で す 。 
その た め 、WORD の 値 を int に コピ ー す る こと に より 、16 か ら 31 ま で の ビッ ト を クリ ア す 
る 必要 が あり ます 。 ラ ンダ ム ノ イズ が 存在 する 可能 性 が あり ます 。 これ は レジ スタ の 前 の 
操作 か ら 残 され て いる た めで す 。 


この 例 で は 、 構 造 を 8 つの WORD の 配列 と し て 表す こと が で きま す 。 


#include «windows.h» 
#include <stdio.h> 
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void main() 


t 
WORD *t; 
t=(WORD *)malloc (16); 
GetSystemTime (t); 
printf ("%04d-%02d-%02d %02d:%02d:%02dNn", 
t[0] /* wYear */, t[1] /* wMonth */, t[3] /* wDay */, 
t[4] /* wHour */, t[5] /* wMinute */, t[6] /* wSecond */); 
free (t); 
return; 
}; 
次 の 結果 を 得 ます 。 

Listing 1.327: 最適 化 MSVC 
$5678594 DB '%04d -%02d-%02d %02d:%02d:%02d', OaH, OOH 
main PROC 

push eS1 
push 16 
call _malloc 
add esp, 4 
mov esi, eax 
push esi 
call DWORD РТА _ imp_ GetSystemTime@4 
movzx eax, WORD PTR [esi+12] 
movzx ecx, WORD PTR [еѕ1+10] 
movzx edx, WORD PTR [esi+8] 
push eax 
movzx eax, WORD PTR [esi-6] 
push ecx 
movzx ecx, WORD PTR [esi+2] 
push edx 
movzx edx, WORD PTR [esi] 
push eax 
push ecx 
push edx 
push OFFSET $SG78594 
call  printf 
push esi 
call free 
add esp, 32 
xor eax, eax 
pop esi 
ret 0 
main ENDP 


ここ で も 、 前 の コー ド と 区 別 で き な い コー ド が あり ます 。 
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また 、 実 際 に あな た が 何 を し て いる の か 分 か ら な い 限 り 、 実 際 に は これ を し な いこ と に 注 


意 し な けれ ば な り ま せん 。 


第 1.23.3 節 UNIX: struct tm 
Linux 


Linux® time.h の tm 構造 体 を 例 に と り ま し ょ う 。 


#include <stdio.h> 
#include <time.h> 


void main() 


{ 
struct tm t; 
time t unix time; 
unix time-time (NULL); 
localtime r (&unix time, &t); 
printf ("Year: %d\n", t.tm year+1900) ; 
printf ("Month: %dNn", t.tm mon); 
printf ("Day: %dNn", t.tm mday); 
printf ("Hour: %d\n", t.tm hour); 
printf ("Minutes: %dNn", t.tm min); 
printf ("Seconds: %dNn", t.tm sec); 
}; 


GCC 4.4.1 で コン パイ ル し まし ょ う 。 
Listing 1.328: GCC 4.4.1 


main proc near 


push ebp 

mov ebp, esp 

and esp, OFFFFFFFOh 

sub esp, 40h 

mov dword ptr [esp], 0 : time() へ の 第 一 引数 

call time 

mov [esp+3Ch], eax 

lea eax, [esp+3Ch] ; take pointer to what time() returned 
lea edx, [esp-10h] ; at ESP+10h struct tm will begin 
mov [esp+4], edx : 構造 体 へ の ポイ ンタ を 渡す 

mov [esp], eax ; time() の 結果 へ の ポイ ンタ を 渡す 
call localtime_r 

mov eax, [esp+24h] ; tm year 

lea edx, [eax+76Ch] ; edx=eax+1900 

mov eax, offset format ; "Year: %d\n" 

mov [esp+4], edx 

mov [esp], eax 

call printf 

mov edx, [esp+20h] ; tm mon 


mov eax, offset aMonthD ; "Month: %d\n" 
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mov 
mov 
call 
mov 
mov 
mov 
mov 
call 
mov 
mov 
mov 
mov 
call 
mov 
mov 
mov 
mov 
call 
mov 
mov 
mov 
mov 
call 
leave 
retn 

main endp 


[esp+4], edx 
[esp], eax 

printf 

edx, [esp+1Ch] 
eax, offset aDayD 
[esp+4], edx 
[esp], eax 

printf 

edx, [esp+18h] 


eax, offset aHourD ; 


[esp+4], edx 
[esp], eax 
printf 

edx, [esp+14h] 


eax, offset aMinutesD 


[esp+4], edx 
[esp], eax 
printf 

edx, [esp+10h] 


eax, offset aSecondsD 


[esp+4], edx 
[esp], eax 
printf 


, 


P 


, 


, 


; tm mday 


"Day: %dNn" 


; tm hour 


"Hour: %d\n" 


; tm min 
; "Minutes: %d\n" 


; "Seconds: %d\n" 
; tm sec 


どう いう わけ か 、IDA は ロー カル スタ ッ ク に ロー カル 変数 を 書き 込み ませ ん で し た 。 


し か 


し 、 経 験 を 積ん だ リバ ー ス ・ エ ンジ ニア な の で :-) この 単純 な 例 で は 情報 な し で 実行 で きる 
か も し れ ま せん 。 


lea edx, 


[eax+76Ch] に も 注意 し て くだ さい 。 


この 命令 は 0x76C (1900) を EAX の 値 


に 追加 する だ け で す が 、 フ ラグ は 変更 し ませ ん 。LEA (?? on раде ??) に 関す る 関連 セク 


ショ ン も 参照 


GDB 


例 を GDB に ロー ド し て み ま し ょ う 。~*%9 


し て くだ さい 。 


Listing 1.329: GDB 


dennis@ubuntuvm:~/polygon$ date 
Mon Jun 2 18:10:37 EEST 2014 
dennis@ubuntuvm:~/polygon$ gcc GCC_tm.c -o GCC_tm 
dennis@ubuntuvm:~/polygon$ gdb GCC_tm 

GNU gdb (GDB) 7.6.1-ubuntu 


Reading symbols from /home/dennis/polygon/GCC tm...(no debugging symbols 7 
s found)...done. 
(gdb) b printf 


148 デ モ の 目的 で 、gare の 結果 が 少し 修正 され ます 。 も ちろ ん 、 同 じ 秒 で 、GDB を すばやく 実行 する こと は で き 


ませ ん 。 
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Breakpoint 1 at 0x8048330 


(gdb) run 


Starting program: /home/dennis/polygon/GCC_tm 


Breakpoint 1, _ printf (format=0x80485c0 "Year: %d\n") at printf.c:29 


29 printf.c: No such file or directory. 

(gdb) x/20x $esp 

OxbffffOdc: 0x080484c3 0x080485c0 0x000007de 0x00000000 
OxbffffOec: 0x08048301 0x538c93ed 0x00000025 0x0000000a 
OxbffffOfc: 0x00000012 0x00000002 0x00000005 0x00000072 
Oxbffff10c: 0x00000001 0x00000098 0x00000001 0x00002a30 
Oxbfffflic: 0x0804b090 0x08048530 0x00000000 0x00000000 
(gdb) 


私 た ち は 簡 単に スタ ッ ク 内 の 構造 を 見 つけ る こと が で きま す 。 ま ず 、time.h で どの よう に 
定義 され て いる の か を 見 て み ま し ょ う 。 


Listing 1.330: time.h 


struct tm 

t 
int tm sec; 
int tm min; 
int tm hour; 
int tm mday; 
int tm mon; 
int tm year; 
int tm wday; 
int tm yday; 
int tm isdst; 

}; 


ここ で は 、SYSTEMTIME の WORD の 代わ り に 32 ビ ッ ト int が 使用 され て いる こと に 注意 し 
て くだ さい 。 し た が っ て 、 各 フィ ー ル ド は 32 ビ ッ ト を 占有 し ます 。 


スタ ッ ク 内 の 構造 体 の フィ ー ル ド は 次 の と お り で す 。 


OxbffffOdc: 0x080484c3 0x080485c0 0x000007de 

OxbffffOec: 0x08048301 0x538c93ed 0x00000025 sec 

OxbffffOfc: 0x00000012 hour 0x00000002 mday 0x00000005 mon 
s year 

OxbfffflOc: 0x00000001 wday 0x00000098 yday 0x00000001 isdst 0x00002a30 

Oxbffffllc: 0x0804b090 0x08048530 0x00000000 0x00000000 


0x00000000 
0x0000000a min 
0x00000072 7 


また は テー ブル と し て 。 
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16 進 数 10 進 数 | フィ ー ル ド 名 
0x00000025 | 37 tm_sec 
0x0000000a | 10 tm min 
0x00000012 | 18 tm hour 
0x00000002 | 2 tm mday 
0x00000005 | 5 tm mon 
0x00000072 | 114 tm year 
0x00000001 | 1 tm wday 
0x00000098 | 152 tm yday 
0x00000001 | 1 tm isdst 


SYSTEMTIME と 同じ よう に (1.23.1 on page 418) 


tm wday, tm yday, tm_isdst な ど 、 使 用 され て いな い 他 の フィ ー ル ド も 使用 で きま す 。 


ARM 
最適 化 Keil 6/2013 (Thumb モ ー ド ) 


同じ 例 
Listing 1.331: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 
var 38 = -0x38 
var 34 = -0x34 
var 30 - -0x30 
var 2C = -0x2C 
var 28 - -0x28 
var 24 - -0x24 
timer = -0xC 
PUSH {LR} 
MOVS RO, #0 ; timer 
SUB SP, SP, 40x34 
BL time 
STR RO, [SP,#0x38+timer] 
MOV R1, SP ; tp 
ADD RO, SP, #0x38+timer ; timer 
BL localtime r 
LDR R1, =0x76C 
LDR RO, [SP,#0x38+var 24] 
ADDS R1, RO, R1 
ADR RO, aYearD ; "Year: %d\n" 
BL . 2printf 
LDR R1, [SP,#0x38+var_ 28] 
ADR RO, aMonthD ; "Month: %d\n" 
BL . 2printf 
LDR R1, [SP,#0x38+var 2C] 
ADR RO, aDayD ; "Day: %d\n" 
BL . 2printf 
LDR R1, [SP,#0x38+var_ 30] 
ADR RO, aHourD ; "Hour: %d\n" 


BL . 2printf 
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LDR R1, [SP,#0x38+var_ 34] 

ADR RO, aMinutesD ; "Minutes: %d\n" 
BL _ 2printf 

LDR R1, [SP,#0x38+var_ 38] 

ADR RO, aSecondsD ; "Seconds: %d\n" 
BL _ 2printf 

ADD SP, SP, #0x34 

POP {PC} 


最適 化 Xcode 4.6.3 (LLVM) (Thumb-2 モ ー ド ) 


IDA は tm 構造 体 を 「 知 っ て いま す 」。(IDA は localtime r() の よう な ライ ブラ リ 関 数 


の 引数 の 型 を 「 し っ て いる 」 か ら で す ) 
ここ で は 構造 要素 の アク セス と その 名 前 を 示し て いま す 。 
Listing 1.332: 最適 化 Xcode 4.6.3 (ПММ) (Thumb-2 モ ー ド ) 


PUSH {R7,LR} 

MOV R7, SP 

SUB SP, SP, #0x30 

MOVS RO, #0 ; time t * 

ВХ time 

ADD R1, SP, #0x38+var_34 ; struct tm * 
STR RO, [SP,#0x38+var_ 38] 

MOV RO, SP ; time t * 

BLX  localtime г 

LDR R1, [SP,#0x38+var 34.tm year] 
MOV RO, OxF44 ; "Year: %d\n" 

ADD RO, PC ; char * 

ADDW R1, R1, #0x76C 

BLX  printf 

LDR R1, [SP,#0x38+var 34.tm mon] 
MOV RO, OxF3A ; "Month: %d\n" 

ADD RO, PC ; char * 

BLX  printf 

LDR R1, [SP,40x38-var 34.tm mday] 
MOV RO, OxF35 ; "Day: %d\n" 

ADD RO, PC ; char * 

BLX printf 

LDR R1, [SP,#0x38+var 34.tm hour] 
MOV RO, OxF2E ; "Hour: %d\n" 

ADD RO, PC ; char * 

BLX  printf 

LDR R1, [SP,20x38-var 34.tm min] 
MOV RO, OxF28 ; "Minutes: %d\n" 
ADD RO, PC ; char * 

BLX printf 

LDR R1, [SP,20x38-var 34] 


оо моол Бомон 
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MOV RO, OxF25 ; "Seconds: %d\n" 
ADD RO, PC ; char * 
BLX  printf 
ADD SP, SP, #0x30 
POP  (R7,PC) 
00000000 tm struc ; (sizeof=0x2C, standard type) 
00000000 tm_sec DCD ? 
00000004 tm_min DCD ? 
00000008 tm hour DCD ? 
0000000C tm mday DCD ? 
00000010 tm топ DCD ? 
00000014 tm year DCD ? 
00000018 tm wday DCD ? 
0000001C tm yday DCD ? 
00000020 tm isdst DCD ? 
00000024 tm gmtoff DCD ? 
00000028 tm zone DCD ? ; offset 
0000002C tm ends 
MIPS 
Listing 1.333: 最適 化 GCC 4.4.5 (IDA) 
main: 
; TDA は 構造 体 の フィ ー ル ド 名 が わか ら な い の で 、 手 動 で 名 前 を 付け ます 
var 40 = -0x40 
var 38 = -0x38 
seconds = -0x34 
minutes = -0x30 
hour = -0x2C 
day = -0x28 
month = -0x24 
year = -0x20 
var 4 = -4 
lui $gp, (пи local gp >> 16) 
addiu $sp, -0x50 
la $gp, ( gnu local gp & OxFFFF) 
SW $га, Ox50+var 4($SD) 
SW $gp, Ox50+var 40($sp) 
lw $t9, (time & OxFFFF) ($gp) 
or gat, $zero ; ロー ド 遅 延 ス ロッ ト , NOP 
jatr $t9 
move фаб, $zero : 分 岐 遅延 スロ ッ ト , NOP 
lw $gp, 0x50+var_40($sp) 
addiu $a0, $sp, 0x50+var 38 
lw $t9, (localtime r & OxFFFF) ($9D ) 
addiu $al, $sp, 0x50+seconds 
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jalr $t9 

SW $v0, 0x50-var 38($sp) ; 分 岐 達 延 スロ ッ ト 

lw $gp, 0x50+var_40($sp) 

lw $al, 0х50+уеаг($5р) 

lw $t9, (printf & OxFFFF ) ($gp) 

ta $a0, $LCO # "Year: %d\n" 

jalr $t9 

addiu $al, 1900 ; 分 岐 遅延 スロ ッ ト 

lw $gp, 0x50+var_40($sp) 

lw $al, 0x50+month($sp) 

lw $t9, (printf & OxFFFF ) ($gp) 

lui $a0, ($LC1 >> 16) # "Month: %d\n" 

jalr $t9 

la фаб, ($LC1 & OxFFFF) # "Month: %d\n" ; 分 岐 遅延 スロ ッ ト 
lw $gp, 0x50+var_40($sp) 

lw $al, 0x50+day($sp) 

lw $t9, (printf & OxFFFF ) ($gp) 

lui $a0, ($LC2 >> 16) # "Day: %d\n" 

jalr $t9 

la фаб, ($LC2 & OxFFFF) # "Day: %d\n" ; 分 岐 遅 延 ス ロッ ト 
lw $gp, 0x50+var_40($sp) 

lw $al, 0х50+һоиг($5р) 

lw $t9, (printf & OxFFFF ) ( $9D) 

lui фаб, ($LC3 >> 16) # "Hour: %d\n" 

jalr $t9 

la фаб, ($LC3 & OxFFFF) # "Hour: %d\n" ; 分 岐 遅 延 ス ロッ ト 
lw $gp, Ox56+var 40($sp) 

lw $al, 0x50+minutes ($sp) 

lw $t9, (printf & OxFFFF) ($gp) 

lui $a0, ($LC4 >> 16) # "Minutes: %dNn" 

jalr $t9 

la фаб, ($LC4 & OxFFFF) # "Minutes: %d\n" ; 分 岐 遅 延 ス ロッ ト 
lw $gp, 0x50+var_40($sp) 

lw $al, 0x50+seconds($sp) 

lw $t9, (printf & OxFFFF ) ($gp) 

lui $a0, ($LC5 >> 16) # "Seconds: %dNn" 

jalr $t9 

la фаб, ($LC5 & OxFFFF) # "Seconds: %d\n" ; 分 岐 遅 延 ス ロッ ト 
lw $ra, 0x50+var_4($sp) 

or $at, $zero ; ロー ド 遅 延 ス ロッ ト , NOP 

jr $ra 


addiu $sp, 0x50 


$LCO: .ascii "Year: %dNn"<0> 
$LC1: .ascii "Month: %d\n"<0> 
$LC2: „ascii "Day: %d\n"<0> 
$LC3: .ascii "Hour: %dNn"<0> 
$LC4: .ascii "Minutes: %d\n"<0> 
$LC5: .ascii "Seconds: %d\n"<0> 


Chua. 分岐 遅延 スロ ッ ト が 私 た ち を 混乱 させ る 可能 性 の ある 例 で す 。 


た と えば 、35 行 目 に addiu $а1, 1900 と いう 命令 が あり 、 年 に 1900 が 加算 され ます 。 
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これ は 34 行 目 の 対応 する JALR の 前 に 実行 され ます が 、 そ れ を 忘れ な いで くだ さい 。 


値 の 集合 と し て の 構造 体 


構造 体 が 1 つの 場所 に 並ん で いる 変数 で ある こと を 説明 する た め に 、7 構造 体 の 定義 を 再 
度 見 な が ら 、 この 例 を 再 作 っ て み ま し ょ う : リス ト 1.330 


#include <stdio.h> 
#include <time.h> 


void main() 
t 
int tm sec, tm min, tm hour, tm mday, tm mon, tm year, tm wday, tm_yday 
s , tm isdst; 
time t unix time; 


unix time-time (NULL); 
localtime r (&unix time, &tm sec); 


printf 
printf 
printf 
printf 
printf 
printf 


("Year: %dNn", tm year+1900) ; 
("Month: %dNn", tm mon); 
("Day: %dNn", tm mday); 
("Hour: %dNn", tm hour); 
("Minutes: %dNn", tm min); 
("Seconds: %d\n", tm sec); 


}; 


注意 tm sec フィ ー ル ド へ の ポイ ンタ は 、tocattime r、 す な わ ち 「 構 造 体 」 の 最初 の 
要素 に 渡さ れ ま す 。 


コン パイ ラ は 警告 し ます 。 


Listing 1.334: GCC 4.7.3 


GCC tm2.c: In function 'main': 

GCC tm2.c:11:5: warning: passing argument 2 of 'localtime r' from 7 
s incompatible pointer type [enabled by default] 

In file included from GCC tm2.c:2:0: 

/usr/include/time.h:59:12: note: expected 'struct tm *' but argument is of 7 
s type 'int *' 


それ に も か か わら ず 、 こ れ を 生成 し ます 。 
Listing 1.335: GCC 4.7.3 


main proc near 

var_30 = dword ptr -30h 
уаг_2С = dword ptr -2Ch 
unix time = dword ptr -1Ch 
tm_sec = dword ptr -18h 
tm_min = dword ptr -14h 
tm hour = dword ptr -10h 


433 


tm mday = dword ptr -0Сһ 
tm mon = dword ptr -8 
tm year = dword ptr -4 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 30h 
call _ main 
mov [esp+30h+var 30], 0 ; arg 0 
call time 
mov [esp+30h+unix time], eax 
lea eax, [esp+30h+tm sec] 
mov [esp+30h+var 2C], eax 
lea eax, [esp+30h+unix time] 
mov [esp+30h+var 30], eax 
call localtime r 
mov eax, [esp+30h+tm year] 
add eax, 1900 
mov [esp+30h+var 2C], eax 
mov [esp+30h+var 30], offset aYearD ; "Year: %d\n" 
call printf 
mov eax, [esp+30h+tm mon] 
mov [esp+30h+var 2C], eax 
mov [esp+30h+var 30], offset aMonthD ; "Month: %d\n" 
call printf 
mov eax, [esp+30h+tm mday] 
mov [esp+30h+var 2C], eax 
mov [esp+30h+var 30], offset aDayD ; "Day: %d\n" 
call printf 
mov eax, [esp+30h+tm hour] 
mov [esp+30h+var 2C], eax 
mov [esp+30h+var 30], offset aHourD ; "Hour: %d\n" 
call printf 
mov eax, [esp+30h+tm min] 
mov [esp+30h+var 2C], eax 
mov [esp+30h+var 30], offset aMinutesD ; "Minutes: %d\n" 
call printf 
mov eax, [esp+30h+tm sec] 
mov [esp+30h+var_2C], eax 
mov [esp+30h+var_30], offset aSecondsD ; “Seconds: %d\n" 
call printf 
leave 
retn 
main endp 


この コー ド は これ まで 見 て きた も の と 同じ も の で 、 元 の ソー スコ ー ド で は 構造 体 で あっ た 
か 、 単 な る 変数 の 集合 で あっ た か は 言え ませ ん 。 


そし て これ は 動き ます 。 た だ し 、 こ れ を 実際 に 行う こと は お 勧め し ませ ん 。 


通常 、 最 適 化 さ れ て いな い コ ン パ イラ は 、 関 数 内 で 宣言 され た の と 同じ 順序 で 変数 を ロー 
カル スタ ッ ク に 割り 当て ます 。 
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と は いえ 、 何 の 保証 も あり ませ ん 。 
ちな み に 、tm year、tm mon、tm mday、tm hour、tm min 変数 に つい て は 、 他 の コン 
パイ ラ が 警告 する こと が あり ます が 、tm sec は 初期 化 さ れず に 使用 され ます 。 


実際 、 コ ン パ イラ は 、 こ れ ら が localtime r( ) 関数 で 初期 化 さ れる こと を 認識 し て いま 
せん 。 


すべ て の 構造 体 フ ィ ー ル ド が int 型 で ある た め 、 こ の 例 を 選択 し まし た 。 


SYSTEMTIME 構造 体 の 場合 の よう に 、 構 造 体 フィ ー ル ド が 16 ビ ッ ト (WORD) の 場合 、 こ れ 
は 機能 し ませ ん 。GetSystemTime( ) は 、( ロ ー カ ル 変 数 が 32 ビ ッ ト 境 界 で 整列 され て い 
る た め )、 それ ら を 正しく 入力 し ませ ん 。 次 の セク ショ ン で それ に つい て も っ と 読む :「 

ィ ー ル ド を 構造 体 に パッ キン グ す る 」 (1.23.4 on page 437) 


し た が っ て 、 構 造 体 は 、1 つ の 場所 に 並べ て 配置 され た 単なる 変数 の 集合 で す 。 構 造 体 は 
コン パイ ラ へ の 命令 で あり 、 変 数 を 1 つの 場所 に 保持 する よう に 指示 する こと が で きま す 。 
と ころ で 、 非 常に 初期 の C て バー ジョ ン (1972 年 以前 ) に は 、 構 造 体 が まっ た く 存 在 し ませ 
ん で し た 。[Dennis M. Ritchie, The development of the C language, (1993)]149 


デバ ッ ガ の 例 は あり ませ ん 。 す で に 見 た の と まっ た く 同 じ で す 。 


32 ビ ッ ト ワ ー ド の 配列 と し て の 構造 体 


#include <stdio.h> 
#include <time.h> 


void main() 

{ 
struct tm t; 
time t unix time; 
int i; 


unix time-time (NULL); 
localtime r (&unix time, &t); 


for (i20; i«9; i++) 
1 
int tmp=((int*)&t 
( 


MEN 
printf ("0х%08Х (%d)\n", tmp, tmp); 
}; 


}; 


構造 体 へ の ポイ ンタ を int の 配列 に キャ スト し ます 。 そ し て 、 そ れ は 動作 し ます ! 例 
は 2014 年 7 月 26 日 23:51:45 に 実行 され ます 。 


0x0000002D (45) 
0x00000033 (51) 
0x00000017 (23) 
0x0000001A (26) 
0x00000006 (6) 


143 以下 で 利用 可能 pdf 
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0x00000072 (114) 
0x00000006 (6) 
0x000000CE (206) 
0x00000001 (1) 


ここ で の 変数 は 、1.330 on page 427 構造 体 の 定義 で 列挙 され て いる の と 同じ 順序 で す 。 
コン パイ ル 方 法 は 次 の と お り で す 。 


Listing 1.336: 最適 化 GCC 4.8.1 


main proc near 


push ebp 

mov ebp, esp 

push esi 

push ebx 

and esp, OFFFFFFFOh 

sub esp, 40h 

mov dword ptr [esp], 0; タイ マー 
lea ebx, [esp+14h] 

call _time 

lea esi, [esp+38h] 

mov [esp+4], ebx ; tp 

mov [esp*10h], eax 

lea eax, [esp+10h] 

mov [esp], eax , タイ マー 
call  localtime г 

nop 

lea esi, [es1+0] ; NOP 


loc 80483D8: 
; EBX は 構造 体 へ の ポイ ンタ で 、 
; ES1T は 構造 体 の 終わ り へ の ポイ ンタ で す 。 


mov eax, [ebx] ; get 配列 か ら 32 ビ ッ ト word を 取得 
add ebx, 4 ; 構造 体 の 次 の フィ ー ル ド 
mov dword ptr [esp+4], offset a0x08xD ; "0x%08X (%d)\n" 
mov dword ptr [esp], 1 
mov [esp+0Ch], eax ; printf() に 値 を 渡す 
mov [esp+8], eax ; printf() に 値 を 渡す 
call _  printf chk 
cmp ebx, esi ; 構造 体 の 最後 ? 
jnz short loc 8048308 ; いい え - 次 の 値 を ロー ド す る 
tea esp, [ebp-8] 
pop ebx 
pop esi 
pop ebp 
retn 
main endp 


実際 に は 、 ロ ー カ ルス タッ ク 内 の スペ ー ス は 最初 に 構造 体 と し て 扱わ れ 、 そ の 後 で 配列 と 
し て 扱わ れ ま す 。 


この ポイ ンタ を 介し て 構造 体 の フィ ー ル ド を 変更 する こと も 可能 で す 。 
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そし て 、 こ の 怪し い ハ ッ カ ー っ ぽい や り 方 は 、 プ ロダ クト コー ド で の 使用 は お 勧め し ませ 
ん 。 


練習 問題 


練習 と し て 、 構 造 体 を 配列 と し て 扱い 、 現 在 の 月 の 番号 を 変更 (1 つ 増 や し て くだ さい ) し 
て みて くだ さい 。 
配列 オブ ジェ クト と し て の 構造 体 


さら に 進む こと が で きま す 。 ポ イン タ を バイ ト の 配列 に キャ スト し て 、 そ れ を ダン プ し ま 
し ょ う 。 


#include <stdio.h> 
#include <time.h> 


void main() 

{ 
struct tm t; 
time t unix time; 
int i, j; 


unix time-time (NULL); 
localtime r (&unix time, &t); 


for (i20; i«9; i++) 
1 
for (j=0; j<4; j++) 
printf ("0х%02Х ", ((unsigned char*)&t) [1*4+] ] ) : 
printf ("\n"); 
}; 
}; 


0х20 0x00 0x00 0x00 
0x33 0x00 0x00 0x00 
0x17 0x00 0x00 0x00 
Ox1A 0x00 0x00 0x00 
0x06 0x00 0x00 0x00 
0x72 0x00 0x00 0x00 
0x06 0x00 0x00 0x00 
OxCE 0x00 0x00 0x00 
0x01 0x00 0x00 0x00 


この 例 は 、2014 年 7 月 26 日 23:51:45 に も 実行 され て いま す 。*?? 値 は 以前 の ダン プ と 同じ 
で す が 、(1.23.3 on page 434) も ちろ ん これ は リト ル エ ン デ ィ ア ン ア ー キ テク チャ な の 
で 、 一 番 下 の バイ ト が 先 に な り ま す 。(?3? on page ??) 


150 デ モ の 目的 で 、 日 時 は 同じ で す 。 バ イト 値 は 固定 され て いま す 。 
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Listing 1.337: 最適 化 GCC 4.8.1 


main proc near 


push ebp 

mov ebp, esp 

push edi 

push esi 

push ebx 

and esp, OFFFFFFFOh 

sub esp, 40h 

mov dword ptr [esp], 0 ; タイ マー 
lea esi, [esp+14h] 

call time 

lea edi, [esp+38h] ; 構造 体 の 終わ り 
mov [esp+4], esi ; tp 

mov [esp+10h], eax 

lea eax, [esp+10h] 

mov [esp], eax „ タイ マー 
call _localtime_r 

lea esi, [esi+0] ; NOP 


; ES5T は ロー カル スタ ッ ク に ある 構造 体 へ の ポイ ンタ で す 。 
; EDI は 構造 体 の 終わ り へ の ポイ ンタ で す 。 
loc 8048408: 

xor ebx, ebx ; j=0 


loc 804840A: 


movzx eax, byte ptr [esi+ebx] ; バイ ト を ロー ド 
add ebx, 1 ; ј=ј+1 
mov dword ptr [esp+4], offset a0x02x ; "0x*02X " 
mov dword ptr [esp], 1 
mov [esp+8], eax ; printf() に ロー ド し た バイ ト を 渡す 
call |. printf chk 
cmp ebx, 4 
jnz short loc 804840A 
; print carriage return character (CR) 
mov dword ptr [esp], 0Ah ; c 
add esi, 4 
call | putchar 
cmp esi, edi ; 構造 体 の 終わ り ? 
jnz short loc 8048408 ; j-0 
lea esp, [ebp-0Ch] 
pop ebx 
pop esi 
pop edi 
pop ebp 
retn 
main endp 


第 1.23.4 節 フィ ー ル ド を 構造 体 に パッ キン グ す る 
1 つ 重 要 な こと は 、 構 造 内 の フィ ー ル ド の パッ キン グ で す . 
簡単 な 例 を 考え て み ま し ょ う : 
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#include <stdio.h> 


struct s 
{ 
сһаг а; 
int b; 
char c; 
int d; 
}; 
void f(struct s s) 
{ 
printf ("a=%d; b=%d; c=%d; d=%dNn", s.a, s.b, s.c, s.d); 
}; 
int main() 
{ 
struct s tmp; 
tmp.a=1; 
tmp. b=2; 
tmp.c=3; 
tmp.d=4; 
f (tmp); 
}; 


見 て きた よう に 、2 つ の char フィ ー ル ド (それ ぞ れ 1 バイ ト ) と 2 つの int (それ ぞ れ 4 バ 
イト ) が あり ます 。 
x86 
この よう に コン パイ ル さ れ ま す 。 
Listing 1.338: MSVC 2012 /GS- /ObO 


_tmp$ = -16 
_Main PROC 
push ebp 
mov ebp, esp 
sub esp, 16 
mov BYTE PTR tmp$[ebp], 1 : フィ ー ル ド a を 設定 


フィ ー ル ド b を 設定 
フィ ー ル ド c を 設定 


mov DWORD PTR _tmp$[ebp+4], 2 
mov BYTE PTR _tmp$[ebp+8], 3 


о O +I OU WNE 


mov 
sub 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 


DWORD PTR _tmp$[ebp+12], 4 
esp, 16 

eax, esp 

ecx, DWORD PTR tmp$[ebp] ; 
DWORD PTR [eax], ecx 

edx, DWORD PTR tmp$[ebp+4] 
DWORD PTR [eax+4], edx 

ecx, DWORD PTR tmp$[ebp+8] 
DWORD РТК [eax+8], ecx 

edx, DWORD PTR tmp$[ebp+12] 


フィ ー ル ド d を 設定 


ーー 時 的 な * 


造 体 の た め に 場所 を 確保 


$ 


造 体 を 


時 的 な 場所 に コピ ー 


+ üN ロビ 
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mov DWORD PTR [eax+12], edx 


call _f 
add esp, 16 
xor eax, eax 
mov esp, ebp 
pop ebp 
ret 0 

_Main ENDP 


_s$ = 8 ; size = 16 
?f@@YAXUS@@@Z PROC ; f 


push ebp 

mov ebp, esp 

mov eax, DWORD PTR _s$[ebp+12] 
push eax 

movsx ecx, BYTE PTR _s$[ebp+8] 
push ecx 

mov edx, DWORD PTR _s$[ebp+4] 
push edx 

movsx eax, BYTE PTR _s$[ebp] 
push eax 


push OFFSET $SG3842 
call printf 
add esp, 20 
pop ebp 
ret 0 
?F@@YAXUS@@@Z ENDP ; f 
_ TEXT ENDS 


構造 全体 を 渡し ます が 、 実 際 に は 、 構 造 体 は 一 時 的 な 領域 に コピ ー さ れ て 、( ス タッ ク 内 の 
領域 は 10 行 目 に 割り 当て られ 、 次 に 4 つの フィ ー ル ド は すべ て 1 つ ず つ 、12 行 目 か ら 19 行 
目 に コピ ー さ れ ま す ) その ポイ ンタ (アド レス ) が 渡さ れ ま す 。 

fO 関数 が 構造 体 を 変更 する か どう か わか ら な いた め 、 構 造 体 が コピ ー さ れ ま す 。 そ れ が 
変更 され た 場合 、main( ) の 構造 体 は その まま で いな けれ ば な り ま せん 。 


私 た ち は C/C++ ポイ ンタ を 使う こと が で きま し た 。 結 果 の コー ド は ほぼ 同じ で す が 、 コ 
ピー は 行い ませ ん 。 


次 に 見 る よう に 、 各 フィ ー ル ド の アド レス は 4 バイ ト の 境界 に 揃え られ て いま す 。 だ か ら 
こそ 、 各 char が (int の よう に ) 4 バイ ト を 占め る の で す 。 な ぜ で し ょ うか ?CPU が 整列 
し た アド レス で メモ リ に アク セス し 、 メ モリ か ら デ ー タ を キャ ッシュ する 方 が 簡単 で ある 
た めで す 。 

し か し 、 あ まり 経済 的 で は あり ませ ん 。 

オプ ショ ン (/Zp1) (n バ イト 境界 で 構造 体 を パッ ク す る /2р[п]) で コン パイ ル し て み ま 
LED. 


Listing 1.339: MSVC 2012 /GS- /Zp1 


_Main PROC 
push ebp 
mov ebp, esp 


sub esp, 12 
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mov BYTE PTR _tmp$[ebp], 1 ; フィ ー ル ド a を 設定 
mov DWORD PTR _tmp$[ebp+1], 2 フィ ー ル ド b を 設定 

mov BYTE PTR tmp$[ebp+5], 3 フィ ー ル ド c を 設定 

mov DWORD PTR _tmp$[ebp+6], 4 フィ ー ル ド d を 設定 

sub esp, 12 時 的 な 構造 体 の た め に 場所 を 確保 
mov eax, esp 
mov ecx, DWORD РТА tmp$[ebp] ; 19 バ イト コピ ー 
mov DWORD PTR [eax], ecx 

mov edx, DWORD PTR _tmp$[ebp+4] 

mov DWORD PTR [eax+4], edx 

mov cx, WORD PTR tmp$[ebp+8] 

mov WORD PTR [еах+8], сх 


call c 
add esp, 12 
xor eax, eax 
mov esp, ebp 
pop ebp 
ret 0 

main ENDP 


_ TEXT SEGMENT 
s$ = 8 ; size = 10 


?F@@YAXUS@@@Z PROC Ha 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _s$[ebp+6] 
push eax 
movsx ecx, BYTE PTR _s$[ebp+5] 
push ecx 
mov edx, DWORD PTR _s$[ebp+1] 
push edx 
movsx eax, BYTE PTR _s$[ebp] 
push eax 


push OFFSET $SG3842 
call | printf 
add esp, 20 


pop ebp 
ret 0 
?f@@YAXUs@@@Z_ ENDP saf 


Now the structure takes only 10 bytes and each char value takes 1 byte. What does 
it give to us? Size economy. And as drawback —the CPU accessing these fields 
slower than it could. 


構造 体 は 10 バ イト し か な く 、 各 char 値 は 1 バイ ト 必 要 で す 。 それは 私 た ち に 何 を 与え る 
の で すか ? サ イズ 経済 。 そ し て 欠点 と し て 、CPU は これ ら の フィ ー ル ド に アク セス する の 
が 遅く な り ま す 。 

構造 体 も main( ) に コピ ー さ れ ま す 。 フィー ルド 単位 で は な く 、3 つ の MOV ペア を 使用 し 
て 直接 10 バ イト を コピ ー し ます 。 な ぜ 4 で は な い の で し ょ うか ? 

コン パイ ラ は 、3 つ の MOV ペア を 使用 し て 10 バ イト を コピ ー す る 方 が 、2 つ の 32 ビ ッ ト ワ 
ー ド と 4 つの MOV ペア を 使用 し て 2 バイ ト を コピ ー す る より も 優れ て いる と 判断 し まし た 。 
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ちな み に 、memcpy( ) 関数 を 呼び 出す 代わ り に МОУ を 使用 する よう な コピ ー の 実装 は 、 
memcpy() の 呼び 出し より も 速い た め 、 広 く 使用 され て いま す 。?? on page ?? 

科 単 に 推測 で きる よう に 、 構 造 体 が 多く の ソー ス フ ァ イル と オブ ジェ クト ファ イル で 使用 
され て いる 場合 、 構 造 体 パッ キン グ に つい て は すべ て 同じ 規則 で コン パイ ル す る 必要 が あ 
り ます 。 

各 構 造 体 フィ ー ル ド の 配置 方 法 を 設定 する MSVC /Zp オプ ショ ン の 他 に 、#Dpragma pack 
コン パイ ラオ プシ ョ ン も あり ます 。 こ の オプ ショ ン は ソー スコ ー ド 内 で 直接 定義 で きま す 。 
MSVC151 と GCC!?? の 両方 で 利用 で きま す 。 

16 ビ ッ ト の フィ ー ル ド で 構成 され る SYSTEMTIME 構造 体 に 戻り まし ょ う 。 私 た ちの コン 
パイ ラ は 、1 バ イト 境界 で パッ ク す る こと を どう や っ て 知っ て いま すか ? 


WinNT.h ファ イル は これ を 持っ て いま す : 


Listing 1.340: WinNT.h 


#include "pshpackl.h" 


そし て これ を 。 


Listing 1.341: WinNT.h 
| #include "pshpack4.h" // 4 バイ ト パ ッ キン グ が デフ ォ ル ト 


PshPack1.h ファ イル は この よう に な っ て いま す 。 


Listing 1.342: PshPack1.h 


#if ! (defined(lint) || defined(RC INVOKED) ) 

#if ( MSC VER >= 800 && !defined( M I86)) | | defined( PUSHPOP SUPPORTED) 
#pragma warning(disable: 4103) 

#if !(defined( MIDL PASS )) || defined( _ midl ) 
#pragma pack(push,1) 

#else 

#pragma pack(1) 

#endif 

#else 

#pragma pack(1) 

#endif 

#endif /* ! (defined(lint) || defined(RC_INVOKED)) */ 


コン パイ ラ は #pragma pack の 後 で 定義 され る 構造 体 を パッ ク す る 方 法 を 知ら せま す 。 


151MSDN: Working with Packing Structures 
152Structure-Packing Pragmas 
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OllyDbg フィ ー ル ド は デフ ォ ル ト で パッ ク さ れる 


OllyDbg で 我々 の 例 を (フィ ー ル ド が デフ ォ ル ト (4 バイ ト ) で 整列 され る ) 試し て み ま 
し よう 。 


CPU - main thread, module packing пі xl 


ESP 
DWORD PTR SS: CARG.4] 
ss CARG. 3] 
DWORD PTR SS:[HRG.2] 
BYTE PTR SS:CARG. 1] 


pack ing. 01371010 


acFFFFFFFF) 
Bat FFFFFFFF) 
at FFFFFFFF) 
at FFFFFFFF) 
rEFDDaaat FFF) 
at FFFFFFFF) 


く &HSUCR119。.pr intf>] 


DVO mmmmmmmmm 


1.105: OllyDbg: printf( ) が 実行 され る 前 


デー タウ ィ ン ド ウ に 4 つ フ ィ ー ル ド が 見 えま す 。 
し か し 、 ラ ンダ ム 値 (0x30, 0x37, 0x01) は どこ か ら 来 だ の で し ょ う 、 最 初 の (a) と 3 番 
目 の フ ィ ー ル ド (с) の 次 で し ょ うか 。 


私 た ちの 1.338 on раде 438 の リス ト を 見 る と 、 最 初 の フィ ー ル ド と 3 番目 の フィ ー ル ド 
が char だ と 分 か り ま す 。 し た が っ て 、 そ れ ぞ れ 1 と 3 (6 行 目 と 8 行 目 ) が 書か れ て いま す 。 


pos トワ ー ド の 残り の 3 バイ ト は メモ リ 内 で 変更 され て いま せん ! し た が っ て 、 ラ ンダ 
ム な ご み が 残 っ て いま す 。 


この ゴミ は printf( ) の 出力 に は 何 の 影響 も 与え ませ ん 。 そ の 値 は 、MOVSX 命令 を 使用 し 
て 準備 され る た め 、 ワ ー ド で は な く バ イト を 使用 し ます 。 リ スト 1.338 (34 行 目 と 38 行 目 ) 


Í char は MSVC と GCC で デフ ォ ル ト で は 符号 あり な の で 、MOVSX (符号 拡張 ) fb 
a こ で 使用 され ます 。 符号 な し の char デー タ 型 また は uint8 t が ここ で 使用 され 
た 場 場合 、 代わ り に MOVZX 命令 使用 され ま す 。 
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OllyDbg 1 バイ ト 境 界 で アラ イン メン ト さ れる フィ ー ル ド 


ここ で は は っ きり し て いま す 。 4 フィー ルド は 10 バ イト を 占め 、 値 は 並べ て 保存 され ます 。 


ESP 
DWORD PTR SS: [EBP+gE] 


ҮТЕ PTR SS: CARG.2+1] 


j пазарЕда ай a ASC 
CES PEL yp RTR : c 8 at FFFFFFFF) 
С ADD ESP, Pg Bt FFFFFFFF) 
EIN z @(ЕЕЕЕЕЕЕЕ) 
ЕТМ @( FFFFFFFF) 

@ 7EFOD@GG( FFF) 
@(FFFFFFFF) 


рй 
О Ø LastErr 00000000 ERROR SUCCESS 
EFL 00000202 (NO,NB,NE,A,NS,PO,GE,G 
dump ASCII (ANSI 
2id ai 02 йй йй йй 03 04 йй йй BEDE 


RETURN from pac 


OFFSET packing. 


ARM 
最適 化 Keil 6/2013 (Thumb モ ー ド ) 


Listing 1.343: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


. text : 0000003E exit ; CODE XREF: f+16 
.text:0000003E 05 BO ADD SP, SP, #0x14 

. text: 00000040 00 BD POP {PC} 

. text: 00000280 f 

.text:00000280 

.text:00000280 var 18 - -0x18 

.text:00000280 a = -0x14 

.text:00000280 b = -0x10 

.text:00000280 C = -0xC 

.text:00000280 d -8 

.text:00000280 

.text:00000280 ОЕ B5 PUSH {RO-R3, LR} 
.text:00000282 81 BO SUB SP, SP, £4 
.text:00000284 04 98 LDR RO, [SP,#16] id 
.text:00000286 02 9A LDR R2, [SP,#8] ; b 
. text: 00000288 00 90 STR RO, [SP] 

. text: 0000028A 68 46 MOV RO, SP 


.text:0000028C 03 7B LDRB АЗ, [RO,#12] е 


.text:0000028E 01 79 LDRB R1, [R0,#4] i-a 

.text:00000290 59 АӨ ADR RO, aADBDCDDD ; "a=%d; b=%d; 
C=* Sd; d=% %d\n 

.text:00000292 05 FO AD FF BL . 2printf 

.text:00000296 D2 E6 B exit 


思い 出さ れる よう に 、 こ で は 1 つの ポイ ンタ の 代わ り に 構造 体 が 渡さ れ ま す 。ARM の 最 
初 の 4 つの 関数 引数 は レジ スタ を 介 し て 渡さ れる の で 、 構 造 体 の フィ ー ル ド は RO-R3 Z 
し て 渡さ れ ま す 。 


LDRB は メモ リ か ら 1 バ イト を ロー ド し 、 そ の 符号 を 考慮 し て 32 ビ ッ ト に 拡張 し ます 。 こ れ 
は x86 の MOVSX に 似 て いま す 。 こ こ で は 、 構 造 体 から フィ ー ル ド a お よび c を ロー ド す る 
た め に 使用 され ます 。 


私 た ち が 簡 単に 見 つけ た も う 1 つ の こと は 、 関 数 エピ ロー グ の 代わ り に 、 別 の 関数 の エピ 
ロー グ に ジャ ンプ する こと で す ! 確か に 、 こ れ は まっ た く 異 な る 機能 で あり 、 私 た ちと は 
何ら 関 作 が あり ませ ん で し た が 、 ま っ た く 同 じ エ ピロ ー グ を 持っ て いま す (お そら く 、 ロ 
ー カ ル 変 数 を 5 つ 含 ん で いる か ら で す (5x4=0z14))。 


また 近く に 位置 し て いま す (アド レス を 見 て くだ さい )。 


実際 、 私 た ち が 必 要 と し て いる よう に 動作 すれ ば 、 ど の エピ ロー グ が 実行 され る か は 問題 
で は あり ませ ん 。 


どう や ら 、Keil は 別 の 関数 の 一 部 を 再 利用 し て 節約 する よう に 決め て いる よう で す 。 
エピ ロー グ は ジャ ンプ に 4 バイ ト 取 り ま す 。 


ARM + 最適 化 Xcode 4.6.3 (LLVM) (Thumb-2 モ ー ド ) 


Listing 1.344: 最適 化 Xcode 4.6.3 (ПММ) (Thumb-2 モ ー ド ) 


var C = -0xC 


PUSH {R7,LR} 

MOV R7, SP 

SUB SP, SP, #4 

MOV R9, R1; b 

MOV R1, RO; a 

MOVW RO, #0xF10 ; "a=%d; b=%d; c=%d; d=%d\n" 
SXTB R1, Rl ; prepare a 

MOVT.W ВО, #0 

STR АЗ, [SP,#0xC+var_C] ; place d to stack for printf() 
ADD RO, PC ; format-string 

SXTB АЗ, R2 ; prepare c 

MOV R2, R9 ; b 

BLX | printf 

ADD SP, SP, #4 

POP (R7,PC) 


SXTB (Signed Extend Byte) は x86 の MOVSX に 似 て いま す 。 残り の 部 分 は すべ て 同じ で 


° 


о O +I O 1 P UJ NJ) P 
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MIPS 
Listing 1.345: 最適 化 GCC 4.4.5 (IDA) 
f: 
var 18 - -0x18 
var 10 = -0x10 
var 4 = -4 
arg 0 = 0 
arg 4 = 4 
arg 8 = 8 
arg C = OxC 
; $a0=s.a 
; $al=s.b 
; $a2=S.C 
; $a3=s.d 
lui $gp, (пи local gp >> 16) 
addiu $sp, -0x28 
la $gp, ( gnu local gp & OxFFFF) 
Sw $га, Ox28+var 4($SD) 
SW eee p, Ox28+var 10($sp) 
; 32 ビ ッ ト ビ ピッグ エン ディ アン 整数 か ら バ イト を 準 1 
sra Pew $a0, 24 
move $vl, $al 
; 32 ビ ッ ト ビ ッ グ エン ディ アン 整数 か ら バ イト を 準備 
sra $v0, $a2, 24 
lw $t9, (printf & OxFFFF ) ( $9D) 
Sw $a0, Ox28+arg 0($sp) 
lui фаб, ($LCO >> 16) # "a=%d; b=%d; c=%d; d=%d\n" 
sw $a3, Ox28+var 18($sp) 
SW $al, Ox28+arg 4($sp) 
sw $a2, Ox28+arg 8($sp) 
Sw $a3, Ox28+arg C($SD ) 
la $a0, ($LCO & OxFFFF) # "a=%d; b=%d; c=%d; d=%dNn" 
move $al, $10 
move $a2, $vl 
jalr $t9 
move $a3, $v0 : 分 岐 遅延 スロ ッ ト 
tw $га, Ox28+var 4($sp) 
or $at, $zero ; ロー ド 遅 延 ス ロッ ト , NOP 
jr $га 
addiu $sp, 0x28 ; 分 岐 遅 延 ス ロッ ト 
$LCO: „ascii "a=%d; b=%d; c=%d; d=%d\n"<0> 


構造 体 フ ィ ー ル ド は レジ スタ $A0..$A3 に 入っ て か ら printf() の た め に $А1..$АЗ に 再 
整理 され 、4 番 目 の フ ィ ー ル ド ($A3 か ら ) は Sw を 使っ て ロー カル スタ ッ ク を 経由 し て 
渡さ れ ま す 。 


し か し 、2 つ の SRA (「Shift Word Right Arithmetic」) 命令 が あり 、 
ド を 準備 し ます 。 な ぜ で し ょ うか ? 


これ は char フィ ー ル 


446 
MIPS は デフ ォ ル ト で は ビッ グエン ディ アン アー キテ クチ ャ で す 3? on раде ??。 私 た ち が 
動か す Debian Linux も ビッ グエン ディ アン で す 。 
し た が っ て 、 バ イト 変数 が 32 ビ ッ ト 構 造 の スロ ッ ト に 格納 され る と き 、 そ れ ら は 高位 31 て 
24 ビ ッ ト を 占有 し ます 。 
また 、char 変数 を 32 ビ ッ ト 値 に 拡張 する 必要 が ある 場合 は 、 そ れ を 24 ビ ッ ト 右 に シフ ト 
する 必要 が あり ます 。 
char は 符号 付き 型 な の で 、 こ こ で は 論理 シフ ト の 代わ り に 算術 シフ ト が 使用 され ます 。 


ア 
ア 


関数 の 引数 と し て 構造 体 を 渡す の は (構造 体 へ の ポイ ンタ を 渡す の で は な く ) 構造 体 の フ 
ィ ー ル ド を 1 つ 1 つ 渡す の と 同じ で す 。 


構造 体 の フィ ー ル ド が デフ ォ ル ト で パッ ク さ れる 場合 、f() 関数 は 以下 の よう に 書き 換え る 
可能 で す 。 


void f(char a, int b, char c, int d) 


í 
}; 


printf ("a=%d; b=%d; c=%d; d=%d\n", а, b, c, d); 


そし て 同じ コー ド に な り ま す 。 


第 1.23.5 節 構造 体 の 入れ 子 
さて 、 あ る 構造 体 が 別 の 構造 体 の 内 部 で 定義 され る 状況 は どう で し ょ うか 


#include <stdio.h> 


struct inner struct 


1 
int a; 
int b; 
struct outer struct 
1 
char a; 
int b; 
struct inner struct c; 
char d; 
int e; 


void f(struct outer struct s) 
printf ("a=%d; b=%d; c.a=%d; c.b=%d; d=%d; e=%dNn", 
s.a, s.b, s.c.a, s.c.b, s.d, s.e); 
}; 


int main() 
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{ 
struct outer struct s; 
s.a-1; 
s.b=2; 
s.c.a-100; 
s.c.b=101; 
s.d=3; 
s.e=4; 
f(s); 
}; 


… こ の 場合 、inner struct フィ ー ル ド は 両方 と も outer struct の フィ ー ル ド a,b と d,e の 
間 に 位置 し ます 。 


コン パイ ル し て み ま し ょ う (MSVC 2010)。 
Listing 1.346: 最適 化 MSVC 2010 /Ob0 


$SG2802 DB 'a-*d; b=%d; c.a=%d; c.b=%d; d=%d; e-*sd', бан, OOH 


_ TEXT SEGMENT 

_s$ = 8 

f PROC 
mov eax, DWORD PTR _s$[esp+16] 
movsx ecx, BYTE PTR _s$[esp+12] 
mov edx, DWORD PTR _s$[esp+8] 


push eax 

mov eax, DWORD PTR _s$[esp+8] 
push ecx 

mov ecx, DWORD PTR _s$[esp+8] 
push edx 

movsx edx, BYTE PTR _s$[esp+8] 
push eax 

push ecx 

push edx 


push OFFSET $SG2802 ; 'a=%d; b=%d; c.a=%d; c.b=%d; d=%d; e=%d' 
call printf 
add esp, 28 


ret 0 

E ENDP 

_s$ = -24 

_main PROC 
sub esp, 24 
push ebx 
push esi 
push edi 
mov ecx, 2 
sub esp, 24 
mov eax, esp 


; この 瞬間 か ら 、EAX は ESP と 同義 
mov BYTE PTR _s$[esp+60], 1 
mov ebx, DWORD PTR _s$[esp+60] 
mov DWORD PTR [eax], ebx 
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mov 
lea 
lea 
lea 
mov 
mov 
mov 
mov 
mov 
mov 
call 
add 
pop 
pop 
xor 
pop 
add 
ret 

_main 


DWORD PTR [eax+4], ecx 
edx, DWORD PTR [ecx+98] 
esi, DWORD PTR [ecx+99] 
edi, DWORD PTR [ecx+2] 
DWORD PTR [eax+8], edx 
BYTE PTR _s$[esp+76], 3 
ecx, DWORD PTR _s$[esp+76] 
DWORD PTR [eax+12], esi 
DWORD PTR [eax+16], ecx 
DWORD PTR [eax+20], edi 
if 
esp, 24 
edi 
esi 
eax, eax 
ebx 
esp, 24 
0 

ENDP 


ここ で 1 つ 興 味 深い の は 、 こ の アセ ン ブ リ コー ド を 調べ る と 、 内 部 に 別 の 構造 体 が 使用 さ 
れ て いる こと さえ わか ら な いと いう こと で す 。 従っ て 、 入 れ 子 の 構造 体 は 一 次 の また は 一 
次 元 の 構造 体 に 展開 され て いる と 言え ます 。 


も ちろ ん 、struct inner struct c; 宣言 を struct inner struct *c; で 置き 換え 
る と し た ら 、( 従 っ て 、 こ こ で ポイ ンタ を 作成 する ) 状況 は まっ た く 違 っ て きま す 。 
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OllyDbg 
例 を OllyDbg に ロー ド し て メモ リ 上 の outer struct を 見 て み ま し ょ う 。 


CPU - main thread, module nested 


as €——— 891 ЖЕР? E Registers КЕРШ 

0 X, DWORD PTR SS:LHRG.41 ЕСУ йа ested. 00E73303 
DWORD PTR : [ARG. З ĝl ested. 00E75301 
DWO IRD PTR :[ARG. 21 


„BYTE PTR SS:[RR6.11 deeem 

EIP кора п ed.aaE71888 
GOE7BOOC -Dp BLFFFFFFFF) 
fa g jit B(FFFFFFFF) 

A G ØLFFFFFFFF) 
B(FFFFFFFF) 
?EFDDggg(FFF) 


Stack [29FDE4]=4 SO F: it 7 
EAX=6629F 006 : ロロ jit B(FFFFFFFF) 
Local call from EZ1 ロ 6C 06 EE OODOGBOO (ERROR. SUCCESS 


PO,GE, G 
bu |RETURM from nes 4 
ч 


1.107: OllyDbg: printf() が 実行 され る 前 


値 が メモ リ 上 に どの よう に ある か を 示し て いま す 。 
° (outer_struct.a) (byte) 1 + 3 バイ ト の ラン ダム な ゴミ の 値 
° (outer_struct.b) (32-bit ワ ー ド ) 2 

32-bit ワ ー ド ) 0x64 (100): 

° (inner_struct.b) (32-bit ワ ー ド ) 0x65 (101); 

* (outer struct.d) (byte) 3 + 3 バイ ト の ラン ダム な ゴミ の 値 


* (outer_struct.e) (32-bit word) 4 


° (inner_struct.a) 


(b 
( 
( 
( 
( 
( 


第 1.23.6 節 構造 体 の ビッ ト フ ィ ー ル ド 
CPUID の 例 


C/C++ 言語 で は 、 各 構造 体 フ ィ ー ル ド の 正確 な ビッ ト 数 を 定義 で きま す 。 メ モリ 空間 を 
節約 する 必要 が ある 場合 に 非常 に 便利 で す 。 た と えば 、poo/ ы i. ト で 十分 で す 。 
し か し 、 ス ピー ド が 重要 な ら 合 理 的 で は あり ませ ん 。 


CPUTD~ う 3 命令 の 例 を 考え て み ま し ょ う 。 こ の 命令 は 、 現 在 の CPU と その 機能 に 関す る 情報 
を 返し ます 。 


命令 が 実行 され る 前 に EAX が 1 に 設定 され て いる 場合 、CPUID は EAX レジ スタ に 情報 が パ 
ッ ク さ れ て 返り ます 。 


53wikipedia 
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3:0 (4 bits) ステ ッ ピ ッ ング 

7:4 (4 bits) モデ ル 

11:8 (4 bits) ファ ミリ ーy 
13:12 (2 bits) | プロ セッ サタ イプ 
19:16 (4 bits) | 拡張 モデ ル 
27:20 (8 bits) | 拡張 ファ ミリ ー 


MSVC 2010 に は CPUID マク ロ が あり ます が 、GCC 4.4.1 に は あり ませ ん 。 で すか ら 組 み 
込み アセ ン ブ ラ 54 の 助け を 借り て GCC の た め に この 機能 を 自分 自身 で 作っ て み ま し ょ う 。 


#include <stdio.h> 


#ifdef _ GNUC ` 

static inline void cpuid(int code, int *a, int *b, int *c, int *d) í 
asm volatile("cpuid":"=a"(*a),"=b"(*b),"=c"(*c),"=d"(*d):"a"(code)); 

} 

#endif 


#ifdef _М5С VER 
#include <intrin.h> 


#endif 

struct CPUID 1 EAX 

t 
unsigned int stepping:4; 
unsigned int model:4; 
unsigned int family_id:4; 
unsigned int processor type:2; 
unsigned int reserved1:2: 
unsigned int extended model id:4; 
unsigned int extended family id:8; 
unsigned int reserved2:4; 

}; 

int main() 

{ 


struct CPUID 1 EAX *tmp; 
int b[4]; 


#ifdef _MSC VER 
__cpuid(b,1); 
#endif 


#ifdef _ GNUC ` 
cpuid (1, &b[0], &b[1], &b[2], &b[3]); 
#endif 


tmp=(struct CPUID 1 EAX *)&b[0]; 
printf ("stepping=%d\n", tmp->stepping) ; 


printf ("model=%d\n", tmp->model) ; 
printf ("family_id=%d\n", tmp->famity id); 


154GCC ア セン ブラ 内 部 の 詳細 
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printf ("processor type=%d\n", tmp->processor_ type); 
printf ("extended model id=%dNn", tmp->extended model id); 
printf ("extended family id=%d\n", tmp->extended family id); 


return 0; 


}; 


CPUID が EAX/EBX/ECX/EDX を 満た す と 、 こ れ ら の レジ スタ は b[] 配列 に 書き 込ま れ ま 
す 。 次 に 、CPUID 1 РАХ 構造 体 へ の ポイ ンタ を 持ち 、 そ れ を b[] 配列 か ら EAX の 値 に 向 
け ま す 。 


つま り 、32 ビ ッ ト の int 値 を 構造 体 と し て 扱い ます 。 次 に 、 構 造 体 か ら 特定 の ビッ ト を 読 
み 込 み ま す 。 
MSVC 


/0x オプ ショ ン を 付け て MSVC 2008 で コン パイ ル し て み ま し ょ う 。 
Listing 1.347: 最適 化 MSVC 2008 


_b$ = -16 ; size = 16 


_main PR0C 
sub esp, 16 
push ebx 
xor ecx, ecx 
mov eax, 1 
cpuid 
push esi 


lea esi, DWORD РТА _b$[esp+24] 
mov DWORD РТА [esi], еах 

mov DWORD PTR [esi+4], ebx 
mov DWORD PTR [esi+8], ecx 
mov DWORD PTR [esi+12], edx 


mov esi, DWORD PTR _b$[esp+24] 


mov eax, esi 
and eax, 15 
push eax 


push OFFSET $SG15435 ; 'stepping-*sd', бан, 00H 
call printf 


mov ecx, esi 
shr ecx, 4 
and ecx, 15 
push ecx 


push OFFSET $5615436 ; 'model-*d', бан, 00H 
call printf 


mov edx, esi 
shr edx, 8 
and edx, 15 
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push 
push 
call 


mov 
shr 
and 
push 
push 
call 


mov 
shr 
and 
push 
push 
call 


shr 
and 
push 
push 
call 
add 


pop 


xor 
pop 


add 
ret 
_main 


edx 


OFFSET $SG15437 ; 


_printf 


eax, esi 
eax, 12 
eax, 3 
eax 


OFFSET $SG15438 ; 


_printf 


ecx, esi 
ecx, 16 
ecx, 15 
ecx 


OFFSET $SG15439 ; 


_printf 


esi, 20 
esi, 255 
esi 


OFFSET $SG15440 ; 


_printf 
esp, 48 
esi 


eax, eax 
ebx 


esp, 16 
0 


ENDP 


, 


, 


, 


, 


‘family id=%d', бан, OOH 


‘processor type=%d', дан, 00H 


‘extended model id=%d', QaH, OOH 


‘extended family 1d=%d', бан, 00H 


SHR 命令 は 、EAX 内 の 値 を 、 ス キッ プ し な けれ ば な ら な い ビ ッ ト 数 だ け シ フト し ます 。 例 
えば 、 右 側 の ビッ ト を 無視 し ます 。 

AND 命令 は 、 左 側 の 不要 ビッ ト を クリ ア し ます 。 言 い 換 えれ ば 、 必 要 な EAX レジ スタ の ビ 
ッ ト だ け を 残し ます 。 
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MSVC + OllyDbg 


OllyDbg に サン プル を ロー ド し て 、CPUID の 実行 後に EAX/EBX/ECX/EDX に どの よう な 値 
が 設定 され て いる か を 見 て み ま し ょ う 。 


CPU - main thread, module CPUID 
40 ars 83EC 16 SUB ESP, 10 
53 


EAX AAASAEHT 


33C9 
BS 01000000 
ØFAZ 


ESI 
ESI, [LOCRL. 31 
DWORD PTR 05: [ESI],EHX 
DWORD PTR DS: CESI+4 
DWORD PTR DS:[ESI+8], ECX 3 
NU ваи, matin 

, : ・ at FFFFFFFF) 
EAX, ESI B(FFFFFFFF) 
g(FFFFFFFF ) 
g(FFFFFFFF ) 
?EFDDggg(FFF) 
g(FFFFFFFF ) 


56 
807424 08 
8906 


Stack [001 
Е51=0 


CODAONDIIO 


RETURN from CPU 


RETURN from CPU 
RETURN from CPU 


ASCII "P()” 


1.108: OllyDbg: CPUID 実 行 後 


EAX は 60x000206A7(CPU は Intel Xeon E3-1220) で す 。 二 進数 で は 0500000000000000100000011010100111 
で す 。 


ビッ ト が フィ ー ル ド に どの よう に 分 配 さ れる か は 次 の と お り で す 。 


フィ ー ル ド 二 進 数 FER 
reserved2 0000 0 
extended family id | 00000000 | 0 
extended model id | 0010 2 
reserved1 00 0 
processor_id 00 0 
family_id 0110 6 
model 1010 10 
stepping 0111 7 
Listing 1.348: Console output 

stepping=7 

model=10 

family_id=6 


processor_type=0 
extended model 1d=2 
extended family id-0 
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GCC 


-03 オプ ショ ン 付 き の GCC 4.4.1 を 試し て み ま し ょ う 。 


Listing 1.349: 最適 化 GCC 4.4.1 


main 

push 
mov 
and 
push 
mov 
push 
mov 
sub 
cpuid 
mov 
and 
mov 
mov 
mov 
call 
mov 
shr 
and 
mov 
mov 
mov 
call 
mov 
shr 
and 
mov 
mov 
mov 
call 
mov 
shr 
and 
mov 
mov 
mov 
call 
mov 
shr 
shr 
and 
and 
mov 
mov 


proc near ; DATA XREF: _start+17 
ebp 
ebp, esp 
esp, OFFFFFFFOh 
esi 
esi, 1 
ebx 
eax, esi 
esp, 18һ 


esi, eax 

eax, OFh 

[esp+8], eax 

dword ptr [esp+4], offset aSteppingD ; “stepping=%d\n" 
dword ptr [esp], 1 

_ printf chk 

eax, esi 

eax, 4 

eax, OFh 

[esp+8] , eax 

dword ptr [esp+4] , offset aModelD : "model=%d\n" 
dword ptr [esp], 1 

_ printf chk 

eax, esi 

eax, 8 

eax, OFh 

[esp+8] , eax 

dword ptr [esp+4] , offset aFamily іар ; "family 1d=%dNn" 
dword ptr [esp], 1 

_ printf chk 

eax, esi 

eax, OCh 

eax, 3 

[esp+8] , eax 


dword ptr [esp+4], offset aProcessor type ; "processor type=%d\n" 


dword ptr [esp], 1 

_ printf chk 

eax, esi 

eax, 10h 

esi, 14h 

eax, OFh 

esi, OFFh 

[esp+8] , eax 

dword ptr [esp+4] , offset aExtended model : 


"extended model id=%d\n" 


mov 
call 
mov 


dword ptr [esp], 1 
_ printf chk 
[esp+8] , esi 
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main 


mov dword ptr [esp+4], offset unk 80486D0 
mov dword ptr [esp], 1 
call _ printf chk 
add esp, 18h 
xor eax, eax 
pop ebx 
pop esi 
mov esp, ebp 
pop ebp 
retn 
endp 


ほとん ど 同 じ で す 。 唯 一 注目 すべ き は 、GCC は 、printf( ) の 各 呼 び 出 し の 前 に 個別 に 言 
算 す る の で は な く 、extended model id と extended family id の 計算 を どう いう わ 


け か 


フロ 


1 つの ブロ ッ ク に 組み 合わ せる こと で す 。 


ー ト 型 の デー タ を 構造 体 と し て 扱う 


FPU に つい て の セク ショ ン (1.19 on page 268) で すでに 述べ た よう に 、7oar と double 
の 両方 は 、 符 号 、 仮 数 部 (また は 小数 部 )、 指 数 部 で 構成 され ます 。 し か し 、 こ れ ら の フィ 
ー ル ド を 直接 編集 する こと は で る で し ょ うか ?7oar で 試し て み ま し ょ う 。 


31 30 23 22 


0 


S| 指数 対数 また は 比 


(5 一 記号 ) 


#inc 
#inc 
#inc 
#inc 


stru 


{ 


}; 


floa 
{ 


lude <stdio.h> 
lude <assert.h> 


lude <stdlib.h> 

lude <memory.h> 

ct float_as struct 

unsigned int fraction : 23; // 端数 部 分 
unsigned int exponent : 8; // 指数 + Ox3FF 
unsigned int sign : 1; // 符号 ビッ ト 


t f(float in) 


float f= in; 
struct float as struct t; 


assert (sizeof (struct float as struct) -- 


memcpy (&t, &f, sizeof (float)); 


t.sign-1; // 負 号 を 設定 


t.exponent=t.exponent+2; // dic 2"(n は ここ で は 2) ER 


memcpy (&f, &t, sizeof (float)); 


sizeof (float)); 
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return f; 
}; 
int main() 
{ 
printf ("%f\n", f(1.234)); 
}; 


float as struct Epid, float と 同じ 量 の メモ リ 、 す な わ ち 4 バイ ト ま た は 32 ビ ッ ト 
を 占有 し ます 。 


COC, 入力 値 に 負 の 符号 を 設定 し 、 指 数 に 2 を 加え る こと に よっ て 、 整 数 を 2?3、 す な わ 
ち 4 で 乗算 し ます 。 
最適 化 を オン に し な いで MSVC 2008 で コン パイ ル し まし ょ う : 


Listing 1.350: 非 最適 化 MSVC 2008 


t$ = -8 ; size = 4 
f$ = -4 ; size = 4 
__1п$=8 ; size = 4 
?f@@YAMM@Z PROC ; f 
push ebp 
mov ebp, esp 
sub esp, 8 


fld DWORD PTR — in$[ebp] 
fstp DWORD PTR f$[ebp] 


push 4 

lea eax, DWORD PTR f$[ebp] 
push eax 

lea ecx, DWORD PTR _t$[ebp] 
push ecx 

call _memcpy 


add esp, 12 


mov edx, DWORD PTR _t$[ebp] 
or edx, -2147483648 : 80000000H - マイ ナス の 符号 を 設 
mov DWORD PTR t$[ebp], edx 


mov eax, DWORD PTR _t$[ebp] 


shr eax, 23 : 00000017H - 指数 を 落と す 

and eax, 255 ; 000000ffH - 指数 の み を 残す 

add eax, 2 ; 2 を 加算 

and eax, 255 ; 000000ffH 

shl eax, 23 ; 00000017H - ビッ ト 36:23 の 場所 に 結果 を シフ ト す る 


mov ecx, DWORD PTR _t$[ebp] 
and ecx, -2139095041 : 807fffffH - 指数 を 落と す 


; 新しく 計算 され た 指数 で 指数 な し の 元 の 値 を 追加 する 
or ecx, eax 
mov DWORD РТА t$[ebp], ecx 
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push 4 

lea edx, DWORD РТА _t$[ebp] 
push edx 

lea eax, DWORD PTR _f$[ebp] 
push eax 

call memcpy 


add esp, 12 


fld DWORD PTR _f$[ebp] 


mov esp, ebp 

pop ebp 

ret 0 
?f@@YAMM@Z ENDP Б 


少し 冗長 で す 。/0x フラ グ を 付け て コン パイ ル し た 場合 、memcpy( ) 呼び 出し は な く 、f 
変数 が 直接 使用 され ます 。 し か し 、 最 適 化 さ れ て いな い バ ー ジ ョ ン を 見 れ ば 分 か りや すく 
な り ま す 。 


GCC 4.4.1 を -03 つき で 実行 し た ら ど うな り ま すか ? 
Listing 1.351: 最適 化 GCC 4.4.1 


; f(float) 
public _Z1ff 
_Z1ff proc near 


var 4 = dword ptr -4 
arg 0 - dword ptr 8 
push ebp 
mov ebp, esp 
sub esp, 4 
mov eax, [ebp«arg 0] 
or eax, 80000000h : マイ ナス 符号 を 設定 
mov edx, eax 
and eax, 807FFFFFh ; EAX に 符号 と 仮数 部 の み を 残す 
shr edx, 23 ; 指数 を 準備 
add edx, 2 ; 2 を 加算 
movzx edx, dl ; EDX の 7:0 を 除く ビッ ト を すべ て クリ ア 
sht edx, 23 ; 新しく 計算 され た 指数 を その 場所 に 移す 
or eax, edx ; 指数 な し で 新しい 指数 と 元 の 値 を 結合 する 
mov [ebp+var 4], eax 
fld [ebp+var 4] 
leave 
retn 
_Z1ff endp 


public main 
main proc near 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
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sub esp, 10һ 

fld ds:dword 8048614 ; -4.936 

fstp qword ptr [esp+8] 

mov dword ptr [esp+4], offset asc 8048610 ; "%fNn' 
mov dword ptr [esp], 1 

call _ printf chk 

xor eax, eax 

leave 

retn 


main endp 


f() 関数 は ほぼ 理解 で きま す 。 し か し 、 興 味 深い の は 、GCC が 構造 体 フ ィ ー ル ド を 持つ こ 
の よう な 問題 に か か わら ず 、 コ ン パ イル 時 に f(1.234) の 結果 を 計算 で き 、 コ ン パ イル 時 
に 事前 計算 され て printf( ) に この 引数 を 用 意 し た こと で す 。 


第 1.23.7 節 練習 問題 
・ http://challenges.re/71 
• http://challenges. re/72 


第 1.24 節 共用 体 


C/C++ 共用 体 は 、 あ る デー タ 型 の 変数 (また は メモ リブ ロッ ク ) を 別 の デー タ 型 の 変数 と 
し て 解釈 する た め に 使用 され ます 。 


第 1.24.1 節 擬似 乱数 生成 器 の 例 


0 と 1 の 間 の 浮動 小数 点 の 乱数 が 必要 な 場合 、 最 も 簡単 な の は メル セン ヌ ツ イス ター の よう 
な PRNG+ う を 使う こと で す 。 ラ ンダ ム な 符号 な し 32 ビ ッ ト 値 を 生成 し ます (つま り 、 ラ ン 
ダム 32 ビ ッ ト を 生成 し ます )。 この 値 を float に 変換 し 、RAND MAX( こ こ で は 6xFFFFFFFF) 
で 割り ます 。 我々 は 0..1 の 間 で 値 を 取得 し ます 。 


し か し 知っ て の と お り 、 除 算 は 遅い で す 。 ま た 、 で きる だ け 少 な い FPU 演 算 で 実行 し た い 
と 考え て いま す 。 私 た ち は 除 算 を 取り 除く こと が で きる で し ょ うか ? 


浮動 小数 点数 が 符号 ビッ ト 、 仮 数 ビッ ト 、 指 数 ビッ ト か ら な る も の を 思い 出し て み ま し ょ 
う 。 ラ ンダ ム な が 浮動 小数 点数 を 得る に は 、 す べ て の 仮数 ビッ ト に ラン ダム な ビッ ト を 格納 
する だ け で す 。 


指数 部 は ゼロ で は あり ませ ん (浮動 小数 点 は この 場合 非 正規 化 さ れ て いま す ) の で 、 指 数 
部 に 0b01111111 を 格納 し て いま す 。 指数 部 が 1 で ある こと を 意味 し ます 。 Ric. 仮数 部 
を ラン ダム ビッ ト で 埋め 、 符 号 ビ ッ ト を 0 に 設定 する ( 正 の 数 ) と 出来 上 が り 。 生成 さ れる 
数 は 1 と 2 の 間 に あ る の で 、1 を 減算 する 必要 が あり ます 。 


私 の 例 で は 、 非 常に 単純 な 線形 合同 乱数 ジェ ネ レ ー タ が 使用 され 、 や 6 これ は 32 ビ ッ ト の 
数 値 を 生成 し ます 。PRNG は UNIX の タイ ム ス タ ン プ 形式 で 現在 の 時 刻 で 初期 化 さ れ ま す 。 


+55 擬 似 乱数 生成 器 
156 ア イデ ア は 以下 か ら 取 り ま し た : URL 
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ここ で は float 型 を union と し て 表し ます 。 これ は 、 メ モリ の 種類 を 異な る 型 と し て 解釈 
で きる C/C++ 構造 で す 。 私 た ちの 場合 、un/o 型 の 変数 を 作成 し 、 そ れ を float また は 
uint32 t の よう に アク セス する こと が で きま す 。 そ れ は まさ に 汚い ハッ ク だ と 言え る で し 
ょ う 。 
整数 PRNG コ ー ド は 、 すでに 検討 し て いる も の と 同じ で す : 1.22 on page 411 この コー ド 
は コン パイ ル さ れ た 形式 で は 省略 され て いま す 。 


#include <stdio.h> 
#include <stdint.h> 
#include <time.h> 


// 整数 PRNG 定 義 、 デ ー タ と ルー チン 


// ニュ ー メ リカ ルレ シ ピ 本 か ら と っ た 定数 
const uint32 t RNG a-1664525; 

const uint32 t RNG c-1013904223; 
uint32 t RNG state; // グロ ー バ ル 変 数 


void my srand(uint32 t i) 


RNG state-i; 


uint32 t my rand() 


АМС state-RNG state*RNG a-RNG c; 
return RNG state; 
}; 


// FPU PRNG 定義 と ルー チン 


union uint32 t float 


1 
uint32 t i; 
float f; 

}; 

float float rand() 

1 
union uint32 t float tmp; 
tmp.i-my rand() & 0x007fffff | Ox3F800000; 
return tmp.f-1; 

1; 

// テス ト 

int main() 

t 


my_srand(time(NULL)); // PRNG 初期 化 


for (int i=0; i<100; i++) 
printf ("%f\n", float rand()); 
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return 0; 
}; 
х86 

Listing 1.352: 最適 化 MSVC 2010 

$SG4238 DB '%f', бан, OOH 
_ real@3ff0000000000000 DQ 03ff0000000000000r Pai 
tv130 = -4 
_tmp$ = -4 
?float_rand@@YAMXZ PROC 

push ecx 


call ?my_rand@@YAIXZ 
; EAX= 疑 似 乱 数 値 
and eax, 8388607 ; 007fffffH 
or eax, 1065353216 ; 3f800000H 
EAX= 疑 似 乱数 値 0x007fffff | Ox3f800000 
; ロー カル スタ ッ ク に 保存 


mov DWORD РТА tmp$[esp+4], еах 
; 浮動 小数 点数 と し て リロ ー ド 

fld DWORD PTR tmp$[esp+4] 
; 1.0 を 引く 


fsub QWORD PTR _ real@3ff0000000000000 
; ロー カル スタ ッ ク に 格納 され た 値 を 格納 し て リロ ー ド する 
; これ ら の 命令 は 冗長 : 
fstp DWORD PTR tv130[esp+4] 


fld DWORD PTR tv130[esp+4] 
pop ecx 
ret 0 


?float_rand@@YAMXZ ENDP 


main PROC 
push esi 
xor eax, eax 
call time 
push eax 
call ?my_srand@@YAXI@Z 
add esp, 4 
mov esi, 100 
$LL3@main: 
call ?float_rand@@YAMXZ 
sub esp, 8 


fstp QWORD PTR [esp] 
push OFFSET $SG4238 


call _ printf 

add esp, 12 

dec esi 

jne SHORT $LL3@main 
xor eax, eax 


pop esi 
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ret 0 
main ENDP 


この 例 は C++ と し て コン パイ ル さ れ て お り 、 こ れ は C++ で の 名 前 の 変換 で ある た め 、 こ 
こ で は 関数 名 が 非常 に 奇妙 で す 。 こ れ に つい て は 後 で 説明 し ます : ?? on раде ?? これ 
を MSVC 2012 で コン パイ ル す る と 、FPU 用 の SIMD 命 令 が 使用 され ます 。 詳細 に つい て は 、 
こち ら を 参照 し て くだ さい : 1.29.5 on page 535 


ARM (ARM モ ー ド ) 
Listing 1.353: 最適 化 GCC 4.6.3 (IDA) 


float rand 
STMFD  SP!, (R3,LR) 
BL my rand 
; R6= 疑 似 乱数 値 
FLDS 50, =1.0 
; 50=1.0 
BIC R3, RO, #0xFF000000 
BIC R3, R3, #0x800000 
ORR R3, R3, #0x3F800000 
; R3= 疑 似 乱 数 値 0x007fffff | Ox3f800000 
; R3 か ら FPU (レジ スタ S15) に コピ ー 
; それ は ビッ ト 単 位 の コピ ー の よう に 動作 し 、 変 換 は 行わ れ ま せん 
FMSR S15, ВЗ 
; 1.0 を 引い て 結果 を 50 に 残す 
FSUBS 50, S15, 50 
LDMFD SP!, {R3,PC} 


flt 5C DCFS 1.0 
main 
STMFD SP!, {R4,LR} 
MOV RO, #0 
BL time 
BL my srand 
MOV R4, 40x64 ; 'd' 
loc 78 
BL float rand 
; S6= 疑 似 乱数 値 
LDR RO, =aF s: esp 


; ftoat 型 の 値 を doubte 型 の 値 に 変換 する (printf() が 必要 と する ) 
FCVTDS D7, 50 


; D7 か ら レ ジス タ R2/R3 ペ ア へ の ビッ ト 単 位 の コピ ー (printf() 用 ) 
FMRRD R2, ВЗ, D7 
BL printf 
SUBS R4, R4, #1 
BNE loc 78 
MOV RO, R4 


LDMFD SP!, {R4,PC} 


aF DCB "%f",0xA,0 
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また 、objdump に ダン プ を 作成 し 、FPU 命 令 の 名 前 が IDA と は 異な る こと を 確認 し ます 。 
見 た と ころ 、 IDA と binutils の 開発 者 は 異な る マニ ュ ア ル を 使っ た の で し ょ うか ? お そら く 、 
両方 の 命令 の 変種 を 知っ て お く と よい で し ょ う 。 


Listing 1.354: 最適 化 GCC 4.6.3 (objdump) 


00000038 <float_rand>: 


38: e92d4008 push {r3, lr} 
3c: ebfffffe bl 10 «my rand» 
40: ed9f0a05 vldr s0, [pc, #20] ; 5c «float гапа+0х24> 
44: e3c034ff bic r3, r0, #-16777216 ; Oxff000000 
48: e3c33502 bic r3, r3, #8388608 ; 0x800000 
4с: e38335fe orr r3, r3, #1065353216 ; 0x3f800000 
50: ee073a90 vmov s15, r3 

54: ee370ac0 vsub.f32 50, 515, 50 
58: e8bd8008 pop {r3, pc} 

5c: 31600000 SVCCC 0x00800000 

00000000 «main»: 

0: e92d4010 push (r4, lr} 

4: e3a00000 mov rO, #0 

8: ebfffffe bl 0 «time» 

C: ebfffffe bl 0 «main» 

10: e3a04064 mov r4, #100 ; 0x64 

14: ebfffffe bl 38 <main+0x38> 

18: e59f0018 ldr rO, [DC, #24] ; 38 <main+0x38> 

1c: eeb77ac0 vcvt.f64.f32 d7, 50 

20: ec532b17 vmov r2, r3, d7 

24: ebfffffe bl 0 <printf> 

28: e2544001 subs r4, r4, #1 

2c: lafffff8 bne 14 <main+0x14> 
30: ela00004 mov rd, r4 
34: e8bd8010 pop {r4, pc} 
38: 00000000 andeq ro, гб, го 


float rand() の 0x5c と main() の 0x38 の 命令 は 、( 疑 似 ) 乱数 ノイ ズ で す 。 


第 1.24.2 節 計算 機 イ プシ ロン を 計算 する 


計算 機 イ プシ ロン は 、FPU が 使用 で きる 最小 の 値 で す 。 浮 動 小数 点数 に 割り 当て られ る 
ビッ ト が 多い ほど 、 計 算 機 イプ シロ ン は 小さ く な り ま す 。7oar で は 2-23 ~ 1.19е- 07 C, 
double で は 275 х 2.22е-16 CF. Wikipedia の 記事 も 参照 し て くだ さい 。 


興味 深い こと に 、 計 算 機 イ プシ ロン を 計算 する の は と て も 簡単 で す 。 


#include <stdio.h> 
#include <stdint.h> 


union uint float 


{ 
uint32 t i; 
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float f; 
}; 
float calculate machine epsilon(float start) 
t 
union uint float v; 
v.f=start; 
V.i++; 
return v.f-start; 
} 
void main() 
t 
printf ("%g\n", calculate machine epsilon(1.0)); 
}; 


ここ で 行う こと は 、IEEE 754 形 式 の 数 の 小数 部 分 を 整数 と し て 扱い 、 そ れ に 1 を 加え る こ 
と で す 。 結 果 の 浮動 小数 点数 は starting_value + machine epsilon に 等 し い の で 、 測 定 す る 
た め に (浮動 小数 点 演算 を 使用 し て ) 開始 値 を 減算 する 必要 が あり ます 。 1 ビット が 単 精 
E (float) に どの よう に 反映 され る か を 測定 し ます 。 共 用 体 は 、 こ こ で は 通常 の 整数 と し 
て IEEE 754 形 式 の 数 に アク セス する 方 法 と し て 機能 し ます 。1 を 加え る こと は 実際 に は 数 
の 小数 部 分 に 1 を 加え ます が 、 言 うま で も な く 、 オ ー バ ー フ ロー は 可能 で あり 、 指 数 部 分 
に 1 を 加え る こと に な り ま す 。 


x86 
Listing 1.355: 最適 化 MSVC 2010 
tv130 = 8 
_v$ = 8 
_start$ = 8 


_calculate machine epsilon PROC 


fld DWORD PTR _start$[esp-4] 
; この 命令 は 冗長 : 

fst DWORD PTR v$[esp-4] 

inc DWORD PTR v$[esp-4] 

fsubr DWORD PTR v$[esp-4] 


; この 命令 ペア も 冗長 : 


DWORD 


fstp PTR tv130[esp-4] 
fld DWORD PTR tv130[esp-4] 
ret 0 


_calculate machine epsilon ENDP 


2 番目 の FST 命令 は 冗長 で す 。 入力 値 を 同じ 場所 に 格納 する 必要 は あり ませ ん (コン パイ 
ラ は 、 ロ ー カ ルス タッ ク の 入力 引数 と 同じ 位置 に ぃ 変数 を 割り 当て る こと に し まし た )。 そ 
れ は 通常 の 整数 の 変数 な の で 、TINC で イン クリ メン ト さ れ ま す 。 そ の 後 、32 ビ ッ ト の IEEE 
754 形 式 の 数 と し て FPU に ロー ド さ れ 、FSUBR が 残り の ジョ ブ を 実行 し 、 結 果 の 値 が STO 
に 格納 され ます 。 最後 の FSTP/FLD 命令 ペア は 冗長 で す が 、 コ ン パ イラ は 最適 化し ませ ん 
で し た 。 


464 


ARM64 
例 を 64 ビ ッ ト に 拡張 し て み ま し ょ う 。 


#include <stdio.h> 
#include <stdint.h> 


typedef union 

{ 
uint64 t i; 
double d; 

} uint_double; 


double calculate machine epsilon(double start) 


1 
uint double v; 
v.d=start; 
V.i++; 
return v.d-start; 
} 
void main() 
t 
printf ("%g\n", calculate machine epsilon(1.0)); 
}; 


ARM64 に は FPU の D レ ジス タ に 数 値 を 加算 する 命令 が な いた め 、 入 力 値 (DO に 入力 され た 
も の ) が 最初 に GPR に コピ ー さ れ 、 イ ンク リ メ ン ト さ れ 、FPU レ ジス タ の D1 に コピ ー さ 
れ て か ら 減 算 が 行わ れ ま す 。 


Listing 1.356: 最適 化 GCC 4.9 ARM64 


calculate machine epsilon: 


fmov x0, 40 ; doubte 型 の 入力 値 を X9 に ロー ド 
add x0, x0, 1 ; X0++ 

fmov dl, x0 ; FPDU レ ジス タ に ムー ブ 

fsub dO, dl, dO ; 引く 


ret 


SIMD 命 令 を 使用 し て x64 用 に コン パイ ル さ れ た この 例 も 参照 し て くだ さい : 1.29.4 on 
page 534 
MIPS 


ここ で の 新しい 命令 は MTC1 (「Move To Coprocessor 11) で す 。GPR か ら FPU の レジ ス 
タ ヘ デー タ を 転送 する だ け で す 。 


Listing 1.357: 最適 化 GCC 4.4.5 (IDA) 


calculate machine epsilon: 
mfc1 $v0, $f12 
or gat, $zero ; NOP 
addiu $v1, $v0, 1 
mtc1 $vl, $f2 
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jr $ra 
sub.s $f0, $f2, $fl2 ; branch delay slot 


結論 


誰か が この トリ ッ ク を 実際 の コー ド で 必要 と する か どう か は わか り に くい で す が 、 こ の 本 
で 何 度 も 述べ た よう に 、 こ の 例 は IEEE 754 形 式 と C/C++ の 共用 体 を 説明 する の に 役立ち 
ます 。 


第 1.24.3 節 FSCALE replacement 


Agner Fog 氏 に よる Optimizing subroutines in assembly language / An optimization 
guide for x86 platforms で は や 7、 多 く の CPU で は FSCALE FPU 命 令 (2^ の 計算 ) が 遅く 
な る 可能 性 が ある と 述べ 、 よ り 速 いも の を 提案 し て いま す 。 


これ が 私 の アセ ン ブ リ コー ド の C/C++ へ の 翻訳 で す 。 


#include <stdint.h> 
#include <stdio.h> 


union uint float 


{ 
uint32 t i; 
float f; 

}; 

float flt 2n(int N) 

{ 
union uint_float tmp; 
tmp .i=(N<<23)+0x3f800000; 
return tmp. f; 

}; 

struct float_as_struct 

t 
unsigned int fraction : 23; 
unsigned int exponent : 8; 
unsigned int sign : 1; 

}; 

float flt 2n v2(int N) 

t 
struct float as struct tmp; 
tmp.fraction-0; 
tmp.sign-0; 
tmp .exponent=N+0x7f ; 
return *(float*) (&tmp) ; 

}; 


157http://www.agner.org/optimize/optimizing_assembly.pdf 
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union uint64 double 


{ 
uint64 t i; 
double d; 
}; 
double dbl 2n(int N) 
{ 
union uint64 double tmp; 
tmp .1=( (uint64 t)N««52)-«0x3ff0000000000000UL ; 
return tmp.d; 
i 
struct double as struct 
1 
uint64 t fraction : 52; 
int exponent : 11; 
int sign : 1; 
15 
double dbl 2n v2(int N) 
1 
struct double as struct tmp; 
tmp. fraction=0; 
tmp.sign=0; 
tmp .exponent=N+0x3ff: 
return *(double*) (&tmp) ; 
Hh 
int main() 
1 
// 2\1 = 2048 
printf ("%f\n", flt 2n(11)); 
printf ("%f\n", flt 2n v2(11)); 
printf ("%lf\n", арі 2n(11)); 
printf ("%lf\n", арі 2n v2(11)); 
}; 


FSCALE 命令 は あな た の 環境 で は より 速い か も し れ ま せん が 、 そ れ で も 、 そ れ は 共用 体 の 
良い 例 で あり 、 指 数 が 2? 形式 で 格納 され る と いう 事実 で す 。 そ の た め 、 入 力 さ れ た n の 
値 は IEEE 754 形 式 で 符号 化 さ れ た 数 の 指数 に シフ ト さ れ ま す 。 その 後 、0x3f800000 ま た 
は 0x3ff0000000000000 を 追加 し て 指数 を 補正 し ます 。 

構造 体 を 使用 し て シフ ト な し で 同じ こと を 実行 で きま す が 、 それで も 内 部 で は シフ ト 操 作 
が 発生 し まし た 。 


第 1.24.4 節 高速 平方 根 計算 
float が 整数 と し て 解釈 され る 別 の よく 知ら れ た アル ゴリ ズム は 平方 根 の 高速 計算 で す 。 
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Listing 1.358: ソー スコ ー ド は ウィ キ ペ ディ ア か ら 取 り ま し た : https://en. 
wikipedia.org/wiki/Methods of computing square root 


/* fLoat は IEEE 754 形 式 の 単 精度 浮動 小数 点数 で 、 
ж 1nt は 32 ビ ッ ト で す 。 */ 
float sqrt approx(ftoat z) 


int val int = *(int*)&z; /* 同じ ビッ ト だ が 、int と し て 扱わ れる */ 

/* 

* 次 の コー ド を 正当 化す る た め 、 以 下 を 証明 せよ 

* 

ж ((((val int / 2^m) - b) / 2) + b) * 2^т = ((val int - 2“m) / 2) + ((7 
s b+ 1) / 2) * 2“m) 


* 

* 以下 の 条件 に お いて 
* 

* b = 指数 バイ アス 
* m = 仮数 ビッ ト の 数 
* 

* . 

+Z 


val_int -= 1 << 23; /* 2^т を 除算 */ 
val int >>= 1; /* 2 で 除算 */ 
val int += 1 << 29; /* ((b + 1) / 2) * 2^m を 加算 */ 


return *(float*)&val int; /* float 型 と し て 再び 解釈 */ 


} 


演習 と し て 、 こ の 関数 を コン パイ ル し て 、 そ の 機能 を 理解 する こと を 試み る こと が で きま す 。 


= の 高速 計算 の よく 知ら れ た アル ゴリ ズム も あり ます 。 Quake III Arena で 使用 され 
て いた た め 、 ア ル ゴ リ ズム が 普及 し た と 考え られ ます 。 


アル ゴリ ズム の 説明 は Wikipedia に あり ます : http://en.wikipedia.org/wiki/Fast 
inverse square root 


第 1.25 節 関数 へ べ へ の ポイ ンタ 
関数 へ の ポイ ンタ は 、 他 の ポイ ンタ と 同様 に 、 コ ー ド セグ メン ト 内 の 関数 の 開始 アド レス 
に すぎ ませ ん 。 
それ ら は コー ル バ ッ ク 関 数 を 呼び 出す た め に よく 使わ れ ま す 。 
よく 知ら れ て いる 例 は 次 の と お り で す 。 
・ 標準 C と ライ ブラ リ の qsort( ) , atexit( ) 
* *NIX OS シグ ナル 
・ ス レッ ド 開 始 : CreateThread( ) (win32), pthread create( ) (POSIX): 
・ 多く の win32 関 数 、 例 えば EnumChitdwindows( ) . 
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・ Linux カ ー ネ ル 内 部 の 色々 な と ころ で 、 例 えば ファ イル シス テム ドラ イ バ 関 数 は コー 
ル バ ッ ク 経 由 で 呼び 出さ れ ま す . 
・ GCC プラ グイ ン 関 数 も コー ル バ ッ ク 経 由 で 呼び 出さ れ ま す . 
その た め 、dqsort( ) 関数 は C/C++ 標準 ライ ブラ リ の quicksort の 実装 で す 。 こ れ ら 2 つの 


要素 を 比較 する 関数 が あり 、qsort( ) が 関数 を 呼び 出す こと が で きる 限り 、 関 数 は あら ゆ 
る デー タ 。 あら ゆる タイ プ の デー タ を ソー ド す る こと が で きま す 。 


比較 関数 は 次 の よう に 定義 で きま す 。 


int (*compare) (const void *, const void *) 


次 の 例 を 使用 し まし ょ う 。 


/* ex3 Sorting ints with qsort */ 


#include <stdio.h> 
#include <stdlib.h> 


int comp(const void * а, const void * b) 


{ 


const int *a=(const int *) а; 
const int *b=(const int *) b; 


if (*a==*b) 
return 0; 
else 
if (*a < *b) 
return -1; 
else 
return 1; 


} 


int main(int argc, char* argv[]) 

{ 
int numbers[10]={1892,45,200, -98,4087,5, -12345,1087, 88, - 100000}; 
int i; 


/* Sort the array */ 
qsort(numbers,10,sizeof(int),comp) ; 
for (i=0;i<9; i++) 

printf("Number = %d\n",numbers[ i ]) ; 
return 0; 


第 1.25.1 節 MSVC 
MSVC 2010 (簡潔 に する た め 一 部 を 省略 ) で /0x オプ ショ ン を 付け て コン パイ ル し まし 
よう 。 

Listing 1.359: 最適 化 MSVC 2010: /GS- /MD 


| gag$ = 8 ; Size = 4 
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DWORD PTR _ a$[esp-4] 
DWORD PTR  b$[esp-4] 
DWORD PTR [eax] 
DWORD PTR [ecx] 


SHORT $LN4@comp 


eax, DWORD PTR [edx+edx-1] 


eax, DWORD PTR _numbers$[esp+52] 


_numbers$[esp+60] , 
_numbers$[esp+64], 
_numbers$[esp+68] , 
_numbers$[esp+72], 
_numbers$[esp+76], 
_numbers$[esp+80] , 
_numbers$[esp+84] , 
_numbers$[esp+88] , 
_numbers$[esp+92], 
_numbers$[esp+96] , 


_ b$ = 12 

comp PROC 
mov eax, 
mov ecx, 
mov eax, 
mov ecx, 
cmp eax, ecx 
jne 
xor eax, eax 
ret 0 

$LN4@comp: 
xor edx, edx 
cmp eax, ecx 
setge dl 
lea 
ret 0 

comp ENDP 

_numbers$ = -40 

_argc$ = 8 

 argv$ = 12 

main PROC 
sub esp, 40 
push esi 
push OFFSET _comp 
push 4 
lea 
push 10 
push eax 
mov DWORD PTR 
mov DWORD PTR 
mov DWORD PTR 
mov DWORD PTR 
mov DWORD PTR 
mov DWORD PTR 
mov DWORD PTR 
mov DWORD PTR 
mov DWORD PTR 
mov DWORD PTR 
call _qsort 
add esp, 16 


1892 

45 

200 

-98 
4087 

5 
-12345 
1087 

88 
-100000 


, 


size = 4 


size 
size 
size 


Ho I 
+ 


00000028H 


0000000aH 


00000764H 
0000002dH 
000000c8H 
ffffff9eH 
00000ff7H 


ffffcfc7H 
0000043fH 
00000058H 
fffe7960H 


00000010H 


これ まで の と ころ 驚く べき こと は 何 も あ り ま せん 。4 番 目 の 引 数 と し て 、 ラ ベル сотр の 
アド レス が 渡さ れ ま す 。 これ は сотр() が 置か れ て いる 場所 、 つ まり その 関数 の 最初 の 命 


令 の アド レス で す 。 


qsort( ) は どう や っ て 呼び 出す で し ょ うか ? 
MSVCR80.DLL (C 標 準 ラ イブ ラリ 関数 を 含む MSVC DLL モ ジュ ー ル ) に ある この 関数 を 見 


て み ま し ょ う 。 
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Listing 1.360: MSVCR80.DLL 


.text:7816CBF0 ; void cdecl qsort(void *, unsigned int, unsigned int, int 
( cdecl *)(const void *, const void *)) 

. text: 7816CBFO public _qsort 

.text:7816CBFO qsort proc near 

. text: 7816CBFO 

.text:7816CBFO to 

.text:7816CBFO hi 

.text:7816CBFO var FC 

.text:7816CBF0 stkptr 

.text:7816CBFO tostk 

. text: 7816CBFO histk 

. text: 7816CBFO base 

. text: 7816CBFO num 

. text: 7816CBFO width 

.text:7816CBFO comp 

. text: 7816CBFO 


dword ptr -104h 
dword ptr -100h 
dword ptr -OFCh 
dword ptr -OF8h 
dword ptr -OF4h 
dword ptr -7Ch 
dword ptr 4 

dword ptr 8 

dword ptr 0Ch 
dword ptr 10h 


.text:7816CBF0 sub esp, 100h 
.text:7816CCEO loc 7816CCE0 : ; CODE XREF: qsort+B1 
.text:7816CCE0 shr eax, 1 
.text:7816CCE2 imul eax, ebp 
.text:7816CCE5 add eax, ebx 
.text:7816CCE7 mov edi, eax 
.text:7816CCE9 push edi 

.text:7816CCEA push ebx 

.text:7816CCEB call [esp+118h+comp] 
.text:7816CCF2 add esp, 8 
.text:7816CCF5 test eax, eax 
.text:7816CCF7 jte short loc 7816CD04 


comp は 関数 へ の 4 番目 の 引数 で す 。 こ こ で 、 制 御 は comp へ の 引数 の アド レス に 渡さ れ ま 
す 。 そ の 前 に 、comp( ) に 対し て 2 つの 引数 が 用 意 さ れ て いま す 。 そ の 結果 は 実行 後に チェ 
ッ ク さ れ ま す 。 


その た め 、 関 数 へ の ポイ ンタ を 使用 する の は 危険 で す 。 ま ず 第 一 に 、 誤 っ た 関数 ポイ ンタ 
で qsort( ) を 呼び 出す と 、qsort( ) が 誤っ た ポイ ント に 制御 フロ ー を 渡す こと が あり 、 
プロ セス が クラ ッシュ し て この バグ を 見 つけ る の が 難し く な り ま す 。 


2 番目 の 理由 は 、 コ ー ル バッ ク 関 数 の 型 は 厳密 に 従わ な けれ ば な ら ず 、 間 違っ た 型 の 間違っ 
た 引数 で 間違っ た 関数 を 呼び 出す と 深刻 な 問題 に つなが る 可能 性 が ある と いう こと で す 。 
た だ し 、 プ ロ セ ス の クラ ッシュ は 問題 で は あり ませ ん 、 問 題 は クラ ッシュ の 理由 を どう や 
っ て 決定 する の か で す 、 な ぜ な ら コ ン パ イラ は コン パイ ル 中 に 潜在 的 な 問題 に つい て 沈黙 
し て いる か も し れ な いか ら で す 。 
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MSVC + OllyDbg 


例 を OllyDbg に ロー ド し 、 comp() ) に ブレ ー ク ポイ ント を 設定 し まし ょ う 。 最初 の comp( ) 
呼び 出し で 値 が どの よう に 比較 され る か を 見 る こと が で きま す 。 


D 884424 04 EAX, DWORD PTR SS: CARG. 11 
Di604||* BB4C24 08 ECX, DWORD PTR 55: CARG.2] IA 
019 EAX, DWORD PTR DS: LER» 99999995 

ECX, DWORD PTR 05: [ECX] 99999999 


EAX, ECH 
SHORT ggFD1 ロ 13 6932FDS9 


AX, EAX ВР 9937FE98 


БТА 8037FEDC 

ХОВ EDX, EDX 

СМР ERX,ECX g937FEBS ーー 
SETGE DL EIP @0FD100C 17_1.@0FD19aC 
に RE pem ir awka Cg ES @(FFFFFFFF) 


BLFFFFFFFF) 
Bt FFFFFFFF) 
D BLFFFFFFFF) 
F: 7EFDD@G0( FFF) 
6: jit B(FFFFFFFF) 


=| ロ | x| 


CC INTS 
83EC 2С SUB ESP,2C 
à ЕР: ax’ П 


ЕСХ=5 
ERX=00000764 (decimal 1892.) 


)O-OnmNDTO0 
coo 


1) 
) OOo 


"T 
TN 


e 
‹ 


1.109: OllyDbg: сотр() の 最初 の 呼び 出し 


便宜 上 、OllyDbg は コー ドウ ィ ン ド ウ の 下 の ウ ィ ン ド ウ に 比較 値 を 表示 し ます 。 また 、 
SP! が RA を 指し て いる こと が わか り ま す (qsort( ) 関数 は MSVCR100 .DLL に あり ます )。 
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RETN 命令 まで トレ ー ス し (F8)、 も う 一 度 F8 を 押す と 、qsort( ) 関数 に 戻り ます 。 


CPU - main thread, module MSVCR100 


ЧИР SHORT 6ESF4RCF 
SHR EAX, 1 

IMUL EBX, EAX 

ADD EBX, EDI 

PUSH EBX 


CALL DWORD PTR SS:LEBP+14] 
TEST EAX, EAX 
JLE SHORT 6ESF4B53 ee 
HOU EDX, ear PTR SS: LEBP+19] ' MSUCR100. 6E3F4B20 
C S : g(FFFFFFFF) 
СМР EDI t G(FFFFFFFF) 
JE SHORT 6ESF4B53 it B(FFFFFFFF) 
НОМ ECX,EDI 7 а t @(FFFFFFFF) 
< FODGGG( FFF) 
at FFFFFFFF) 


a 
a 


e 


図 1.110: OllyDbg: comp() 呼び 出し 直後 の qsort() の コー ド 


それ は 比較 関数 へ の 呼び 出し で し た 。 
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これ は comp() の 2 回 目 の 呼 び 出 し の 瞬間 の スク リー ン シ ョ ッ ト で も あり 、 比 較 す る 必要 
が ある 値 は 異な り ま す 。 


CPU - main thread, module 17 1 


ggFD1 š 9B4424 04 MOU EA%,DWORD PTR SS:LBRG.11 
an SB4C24 48 MOU ECX, DWORD PTR 55: CARG.2] 
MOU EAX,DWORD PTR 05: CEAX] 
a ECX, DWORD PTR 05: CECKI 


P , 
JNE SHORT ggFH1g13 
XOR EAX, EAX 


RETN 

XOR EDX, EDX 
・ 3BC1 CHP ERX,ECX 

00Е01017 || • SETGE DL 

aarDi18o1n|[-. LER EAX, CEDX+EDX-11 

@GFDIGIE|&- СЗ RETN 

ggFH1 


ァ _1.99FD19gC 
g(FFFFFFFF) 
INTS at FFFFFFFF) 
3 n e g(FFFFFFFF 
SUB ESP,2C o prp arr 2 B(FFFFFFFF) 
: т E д5: Š 0 ?EFDDggg(FFF ) 
g(FFFFFFFF) 


vv 


ggFD3 


1.111: OllyDbg: comp( ) の 2 回 目 の 呼び 出し 


MSVC + tracer 


どの ペア が 比較 され る か も 見 て み ま し ょ う 。1892、45、200、-98、4087、5、-12345、 
1087、88、-100000 の 10 個 の 番号 が ソー ト さ れ て いま す 。 


comp( ) で 最初 の CMP 命令 の アド レス を 取得 し まし た 。 こ れ は 0x0040100C TH., ここ 
に ブレー ク ポ イン ト を 設定 し まし た 。 


tracer.exe -l:17 1.exe bpx=17_1.exe!0x0040100C 


これ で 、 ブ レー ク ポ イン ト の レジ スタ に 関す る 情報 が いく つか 得 ら れ ま す 。 


PID=4336|New process 17 1.exe 

(0) 17_1.exe!0x40100c 

EAX=0x00000764 EBX-0x0051f7c8 ECX=0x00000005 EDX=0x00000000 
ESI-0x0051f7d8 EDI=0x0051f7b4 EBP=0x0051f794 ESP=0x0051f67c 
EIP=0x0028100c 

FLAGS=IF 

(0) 17 1.exe!0x40100c 

EAX=0x00000005 EBX-0x0051f7c8 ECX=0xfffe7960 EDX=0x00000000 
ESI-0x0051f7d8 EDI=0x0051f7b4 EBP=0x0051f794 ESP=0x0051f67c 
EIP=0x0028100c 

FLAGS=PF ZF IF 

(0) 17 1.exe!0x40100c 

EAX-0x00000764 EBX-0x0051f7c8 ECX=0x00000005 EDX-0x00000000 
ESI-0x0051f7d8 EDI=0x0051f7b4 EBP=0x0051f794 ESP=0x0051f67c 
EIP=0x0028100c 

FLAGS=CF PF ZF IF 


EAX と ECX を 除外 する と 以下 の よう に な り ま す 。 


EAX=0x00000764 
EAX=0x00000005 
EAX=0x00000764 
EAX=0x0000002d 
EAX=0x00000058 
EAX-0x0000043f 
EAX-Oxffffcfc7 
EAX-0x000000c8 
EAX-Oxffffff9e 
EAX-0x00000f17 
EAX-0x00000f17 
EAX-Oxffffff9e 
EAX-Oxffffff9e 
EAX-Oxffffcfc7 
EAX-0x00000005 
EAX-Oxffffff9e 
EAX-Oxffffcfc7 
EAX-Oxffffff9e 
EAX-Oxffffcfc7 
EAX=0x000000c8 
EAX=0x0000002d 
EAX-0x0000043f 
EAX-0x00000058 
EAX-0x00000764 
EAX-0x000000c8 
EAX-0x0000002d 
EAX-0x0000043f 
EAX-0x00000058 
EAX-0x000000c8 
EAX-0x0000002d 
EAX-0x0000043f 
EAX=0x000000c8 
EAX=0x0000002d 
EAX=0x0000002d 


ECX=0x00000005 
ECX=0xf f fe7960 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0xf f fe7960 
ECX=0xffffcfc7 
ECX=0x00000005 
ECX=0xfffe7960 
ECX=0xffffcfc7 
ECX=0xfffe7960 
ECX=0x00000ff7 
ECX=0x00000ff7 
ECX=0x00000ff7 
ECX=0x00000ff7 
ECX=0x00000ff7 
ECX=0x00000764 
ECX=0x00000764 
ECX=0x00000764 
ECX=0x00000764 
ECX=0x00000058 
ECX=0x000000c8 
ECX=0x000000c8 
ECX=0x00000058 
ECX=0x000000c8 
ECX=0x00000058 


34 ペ ア で す 。 し た が っ て 、 ク イッ クソ ー ト アル ゴリ ズム で は 、 こ れ ら 10 個 の 数 字 を ソー ト 
する た め に 34 回 の 比較 操作 が 必要 で す 。 
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MSVC + tracer (code coverage) 


トレ ー サ の 機能 を 使用 し て 可能 な すべ て の レジ スタ 値 を 収集 し 、 そ れ ら を IDA に 表示 する 
こと も で きま す 。 


comp() 内 の すべ て の 命令 を トレ ー ス し まし ょ う 。 


tracer.exe -l:17 1.exe bpf=17 1.exe!0x00401000,trace:cc 


IDA に ロー ド す る た め の .idc-script を 入手 し て ロー ド し ます 。 


-text : 66461666 

-text:60461606 ; int cdec1 PtFuncCompare(const void *, const void x) 
-text:66461666 PtFuncCompare proc near ; DATA XREF: _main+5Jo 
-text : 66461666 

- text: 66461666 arg 8 
-text : 66461666 arg ^ 
-text - 60461666 


dword ptr 4 
dword ptr 8 


- text: 66461668 mou eax, [esp*arg 8] ; [ESP*^]-8xh5f7ec..0xa5F818(step-h), L'"?Xx84? 
-text:80501085 nou ecx, [esp*arg ^] ; [ESP*8]-8x&h5f7ec..8xh5f7fh(step-^), Ox45F7Fc 
-text:80481888 mou eax, [eax] ; [EAX]=5, Ox2d, 0x58, 0хс8, Ox43F, Ox764, Oxff 
. text :6646166A mou ecx, [ecx] ; [ECX]=5, 0x58, Oxc8, Ox764, Oxff7, Oxfffe7960 
. text :6646166C cmp eax, ecx ; ERX=5 。 Ox2d, 0x58, Oxc8, Oxh3f, Ox764, OxFf?, 
-text :6646166E jnz short loc_461613 ; 2F-false 

„сех: 66461616 xor eax, eax 

- text : 66461612 retn 


.text:00401813 ; --------------------------------------------------------------------------- 
-text : 60401013 


-text : 66461613 10с_ 561613: ; CODE XREF: PtFuncCompare+Etj 

- text : 66461613 xor edx, edx 

- text : 66461615 cmp eax, ecx ; EAX=5, Ox2d, 0x58, Oxc8, Oxh3f, Ox764, Oxff7, 
- text : 66461617 setn1 d1 ; SF-false,true OF=false 

- text :66461601A lea eax, [ейх+ейх-1] 

-text : 6646161E retn ; EAX=1, BxFFFFFFFF 


-text:6646161E PtFuncCompare endp 
-Text - ARSA1 AIF 


1.112: トレ ー サ と IDA。 注意 : 値 が いく つか 右側 で 切れ て いま す 


IDA は 関数 に 名 前 (PtFuncCompare) を 付け まし た 。IDA は この 関数 へ の ポイ ンタ が 
qsort( ) に 渡さ れる こと を 認識 し て いる た めで す 。 


a ポイ ンタ と ヵ ゎ ポ イン タ は 配列 内 の さま ざま な 場所 を 指し て いま す が 、32 ビ ッ ト 値 が 配列 
に 格納 され て いる た め 、 そ れ ら の 間 の ステ ッ プ は 4 で す 。 


0x401010 と 0x401012 の 命令 は 実行 され な か っ た こと が わか り ま す (し た が っ て 、 そ れ 
ら は 白 の まま に な り ま す )。 実際 、comp( ) は 0 を 返す こと が あり ませ ん 。 こ れ は 、 配 列 内 
に 等 し い 要素 が な いた めで す 。 
第 1.25.2 節 GCC 
大 き な 違 い は あり ませ ん 。 

Listing 1.361: GCC 


lea eax, [esp+40h+var 28] 
mov [esp+40h+var_40], eax 
mov [esp+40h+var 28], 764h 


mov [esp+40h+var 24], 2Dh 
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mov [esp+40h+var 20], OC8h 
mov [esp+40h+var_1C], @FFFFFF9Eh 
mov [esp+40h+var_18], OFF7h 
mov [esp+40h+var 14], 5 
mov [еѕр+40һ+маг 10], OFFFFCFC7h 
mov [esp+40h+var C], 43Fh 
mov [esp+40h+var 8], 58h 
mov [esp+40h+var 4], OFFFE7960h 
mov [esp+40h+var 34], offset comp 
mov [esp+40h+var 38], 4 
mov [esp+40h+var_3C], QAh 
call _qsort 
comp() 関数 
public comp 
comp proc near 
arg 0 - dword ptr 8 
arg 4 = dword ptr ӨСһ 
push ebp 
mov ebp, esp 
mov eax, [ebptarg 4] 
mov ecx, [ebp«arg 0] 
mov edx, [eax] 
xor eax, eax 
cmp [ecx], edx 
jnz short loc 8048458 
pop ebp 
retn 
loc 8048458: 
setnl al 
movzx  eax, al 
lea eax, [eax+eax - 1 ] 
pop ebp 
retn 
comp endp 


qsort() の 実装 は libc.so.6 に あり 、 実 際 は 単に qsort_r() の ラッ パー で す 158, 


次 に 、quicksort( ) を 呼び 出し て いま す 。 こ こ で は 、 定 義 済み の 関数 が 渡さ れ た ポイ ンタ 
を 介し て 呼び 出さ れ ま す 。 


Listing 1.362: (file libc.so.6, glibc version— 2.10.1) 


.text:0002DDF6 mov edx, [ebp«arg 10] 
.text:0002DDF9 mov [esp*4], esi 
.text:0002DDFD mov [esp], edi 
.text:0002DE00 mov [esp+8], edx 
.text:0002DE04 call [ebp+arg_ C] 


158thunk function と 似 た コン セプト 
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GCC + GDB (ソー スコ ー ド 付き ) 

明らか に 、 こ の 例 の C と ソー スコ ー ド (1.25 on page 468) が ある の で 、 行 番号 (11: 最初 
の 比較 が 行わ れる 行 ) に ブレ ー ク ポイ ント (0) を 設定 で きま す 。 ま た 、 デ バッ グ 情 報 が 含 
まれ る よう に (-g) 例 を コン パイ ル す る 必要 が あり ます 。 そ れ で 、 ア ドレ ス と 対応 する 行 
番号 の テー ブル が 表示 され ます 。 

変数 名 (p) を 使っ て 値 を 出力 する こと も で きま す 。 デ バッ グ 情 報 か ら 、 ど の レジ スタ や ロ 
ー カ ルス タッ ク 要 素 に どの 変数 が 含ま れ て いる か が わか り ま す 。 

スタ ッ ク (bt) を 見 て 、Glibc で 使用 され て いる 中 間 関 数 msort with tmp() が ある こ 
と も わか り ま す 。 


Listing 1.363: GDB session 


dennis@ubuntuvm:~/polygon$ gcc 17 1.с -g 
dennis@ubuntuvm:~/polygon$ gdb ./a.out 

GNU gdb (GDB) 7.6.1-ubuntu 

Copyright (C) 2013 Free Software Foundation, Inc. 


Reading symbols from /home/dennis/polygon/a.out...done. 
(gdb) b 17_1.c:11 

Breakpoint 1 at 0x804845f: file 17 1.c, line 11. 

(gdb) run 

Starting program: /home/dennis/polygon/./a.out 


Breakpoint 1, comp (_a=0xbffff0f8, b= bgentry-OxbffffOfc) at 17 1.c:11 
11 if (*a==*b) 


(gdb) c 
Continuing. 


Breakpoint 1, comp ( a-Oxbffffl04, b= b@entry=Oxbffff108) at 17 1.c:11 
11 if (*a==*b) 


(gdb) bt 

#0 comp ( a-OxbffffOf8, b= bgentry-OxbffffOfc) at 17 1.c:11 

#1 0xb7e42872 іп msort with tmp (p-pgentry-Oxbffff07c, b-bgentry-0^2 
s xbffffOf8, n=n@entry=2) 
at msort.c:65 

#2  0xb7e4273e in msort with tmp (n=2, b=OxbffffOf8, p-OxbffffO7c) at msorty 
S .C:45 

#3 msort with tmp (p-pgentry-Oxbffff07c, b-bgentry-OxbffffOf8, п=п@епїгу 2 
V =5) at msort.c:53 

#4  0xb7e4273e in msort with tmp (n=5, b=OxbffffOf8, p-OxbffffO7c) at msorty 
s .C:45 
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#5 msort with tmp (p=p@entry=0xbffff07c, b=b@entry=0xbffff0f8, n=n@entry 2 
s =10) at msort.c:53 

#6  0xb7e42cef in msort with tmp (n=10, b=0xbffff0f8, p=OxbffffO7c) at 2 
s msort.c:45 

#7 _ GT qsort_r (b=b@entry=0xbffff0f8, n=n@entry=10, s=s@entry=4, cmp=2 
s cmp@entry=0x804844d <comp>, 
arg=arg@entry=0x0) at msort.c:297 

#8 Oxb7e42dcf in GI qsort (b=0xbffff0f8, n=10, s=4, cmp=0x804844d «comp; 
s >) at msort.c:307 

#9 0x0804850d in main (argc-1, argv=0xbfffflc4) at 17 1.c:26 

(gdb) 


GCC + GDB (ソー スコ ー ド な し ) 


し か し 多く の 場合 ソー スコ ー ド が 全く な い の で 、comp( ) 関数 を 逆 ア セン ブル し (disas), 
一 番 最初 の CMP 命令 を 見 つけ て その アド レス に ブレ ー ク ポイ ント b) を 設定 する こと が 
で きま す 。 


各 ブ レー ク ポ イン ト で 、 す べ て の レジ スタ の 内 容 (info registers) を ダン プ し ます 。 
スタ ッ ク 情 報 も 利用 可能 で す (bt) が 、 


部 分 的 で す 。 comp( ) の 行 番 号 情 報 は あり ませ ん 。 
Listing 1.364: GDB session 


dennis@ubuntuvm:~/polygon$ gcc 17 1.с 
dennis@ubuntuvm:~/polygon$ gdb ./a.out 

GNU gdb (GDB) 7.6.1-ubuntu 

Copyright (C) 2013 Free Software Foundation, Inc. 


Reading symbols from /home/dennis/polygon/a.out...(no debugging symbols 2 
s found)...done. 

(gdb) set disassembly-flavor intel 

(gdb) disas comp 

Dump of assembler code for function comp: 


0x0804844d «40»: push ebp 

0x0804844e <+1>: mov ebp,esp 

0x08048450 «43»: sub esp, 0x10 

0x08048453 «46»: mov eax,DWORD PTR [ebp+0x8] 
0x08048456 «49»: mov DWORD PTR [ebp-0x8],eax 
0x08048459 «412»: mov eax,DWORD РТА [ebp+0xc] 
0x0804845c «415»: mov DWORD PTR [ebp-0x4],eax 
0x0804845f «418»: mov eax,DWORD PTR [ebp-0x8] 
0x08048462 «421»: mov edx,DWORD PTR [eax] 
0x08048464 «423»: mov eax,DWORD PTR [ebp-0x4] 
0x08048467 «426»: mov eax,DWORD PTR [eax] 
0x08048469 <+28>: cmp edx,eax 

0x0804846b «430»: jne 0x8048474 <comp+39> 
0x0804846d «432»: mov eax,0x0 

0x08048472 «437»: jmp 0x804848e <comp+65> 
0x08048474 «439»: mov eax,DWORD PTR [ebp-0x8] 
0x08048477 «442»: mov edx,DWORD PTR [eax] 


0x08048479 «444»: mov eax,DWORD PTR [ebp-0x4] 
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0x0804847c <+47>: mov 
0x0804847e <+49>: cmp 
0x08048480 <+51>: jge 
0x08048482 <+53>: mov 
0x08048487 <+58>: jmp 
0x08048489 <+60>: mov 
0x0804848e <+65>: leave 
0x0804848f <+66>: ret 


End of assembler dump. 
(gdb) b *0x08048469 
Breakpoint 1 at 0х8048469 
(gdb) run 


eax,DWORD PTR [eax] 
edx,eax 

0x8048489 <comp+60> 
eax, Oxffffffff 
0x804848e <comp+65> 
eax, 0х1 


Starting program: /home/dennis/polygon/./a.out 


Breakpoint 1, 0x08048469 in comp () 


(gdb) info registers 


eax 0x2d 45 

ecx OxbffffOf8 -1073745672 
edx 0x764 1892 

ebx Oxb7 fc0000 - 1208221696 
esp Oxbfffeeb8 Oxbfffeeb8 
ebp Oxbfffeec8 Oxbfffeec8 
esi OxbffffOfc -1073745668 
edi Oxbffff010 -1073745904 
eip 0x8048469 0x8048469 <comp+28> 
eflags 0x286 [ PF SF IF ] 

cs 0x73 115 

ss 0x7b 123 

ds 0x7b 123 

eS 0x7b 123 

fs 0x0 0 

gs 0x33 51 

(gdb) c 

Continuing. 


Breakpoint 1, 0x08048469 in comp () 


(gdb) info registers 


eax Oxff7 4087 

ecx Oxbffff104 -1073745660 
edx Oxffffff9e -98 

ebx 0xb7fc0000 - 1208221696 
eSD Oxbfffee58 Oxbfffee58 
ebp Oxbfffee68 Oxbfffee68 
esi Oxbffffl108 -1073745656 
edi Oxbffff010 -1073745904 
eip 0x8048469 0x8048469 <comp+28> 
eflags 0x282 [ SF IF ] 

cs 0x73 115 

ss 0x7b 123 

ds 0x7b 123 

eS 0x7b 123 

fs 0x0 0 


gs 0x33 51 
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(gdb) c 
Continuing. 


Breakpoint 1, 0x08048469 in comp () 
(gdb) info registers 


eax Oxffffff9e -98 

ecx Oxbffff100 - 1073745664 
edx Oxc8 200 

ebx Oxb7 fc0000 - 1208221696 
esp Oxbfffeeb8 Oxbfffeeb8 
ebp Oxbfffeec8 Oxbfffeec8 
esi Oxbffff104 -1073745660 
edi Oxbffff010 -1073745904 
eip 0x8048469 0x8048469 <comp+28> 
eflags 0x286 [ PF SF IF ] 

cs 0x73 115 

ss 0x7b 123 

ds 0x7b 123 

eS 0x7b 123 

fs 0х0 0 

05 0x33 51 

(gdb) bt 


#0 0x08048469 in comp () 

#1 0х07е42872 іп msort with tmp (p=p@entry=0xbffff07c, b=b@entry=0 2 
s xbffff0f8, n=n@entry=2) 
at msort.c:65 

#2  0xb7e4273e in msort with tmp (n=2, b=0xbffff0f8, p=0xbffff07c) at msort2 
s .C:45 

#3 msort with tmp (p=p@entry=0xbffff07c, b=b@entry=0xbffff0f8, п=п@епїгу 2 
V =5) at msort.c:53 

#4  0xb7e4273e in msort with tmp (n=5, b=0xbffff0f8, p=0xbffff07c) at msort2 
s .с:45 

#5 msort with tmp (p=p@entry=0xbffff07c, b=b@entry=0xbffff0f8, п=п@епїгу 2 
s -10) at msort.c:53 

#6  0xb7e42cef in msort with tmp (n=10, b=0xbffff0f8, p=OxbffffO7c) at v 
s msort.c:45 

#7 GI qsort_r (b=b@entry=0xbffff0f8, n=n@entry=10, s=s@entry=4, cmp=2 
s cmp@entry=0x804844d <comp>, 
arg=arg@entry=0x0) at msort.c:297 

#8 Oxb7e42dcf in GI qsort (b=0xbffff0f8, n-10, s=4, cmp=0x804844d «comp; 
S >) at msort.c:307 

#9 0х0804850а in main () 


第 1.25.3 節 関数 へ の ポイ ンタ の 危な さ 


ご 覧 の と お り 、qsort( ) 関数 は 、2 つ の vo/g* 引数 を 取り 、 整 数 を 返す 関数 へ の ポイ ンタ 
を 期待 し て いま す 。 コー ド 内 に 複数 の 比較 関数 が ある 場合 (1 つ は 文字 列 、 も う 1 つ は 整数 
な ど を 比較 し ます )、 そ れ ら を 互い に 混同 する こと は 非常 に 簡単 で す 。 あ な た は 整数 を 比較 
する 関数 を 使っ て 文字 列 の 配 列 を ソー ト し よう と する こと が で きま す 、 そ し て コン パイ ラ 
は バグ に つい て あな た に 警告 し ませ ん 。 
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第 1.26 節 32 ビ ッ ト 環 境 で の 64 ビ ッ ト 値 


32 ビ ッ ト 環 境 で は 、GPR は 32 ビ ッ ト な の で 、64 ビ ッ ト 値 は 32 ビ ッ ト 値 ペア と し て 格納 さ 
れ 、 渡 され ます 。 159. 


第 1.26.1 節 64 ビ ッ ト の 値 を 返す 


#include <stdint.h> 


uint64 t f () 
t 


}; 


return 0x1234567890ABCDEF ; 


x86 
32 ビ ッ ト 環 境 で は 、64 ビ ッ ト の 値 は EDX:EAX レジ スタ ベア を 使っ て 関数 か ら 返 され ます 。 
Listing 1.365: 最適 化 MSVC 2010 


_f PROC 
mov eax, -1867788817 ; 90abcdefH 
mov edx, 305419896 ; 12345678H 
ret 0 

f ENDP 

ARM 


64 ビ ッ ト の 値 は R0-R1 レジ スタ ペア を 使っ て 返さ れ ま す (R1 は 高位 の 部 分 を RO は 低位 
の 部 分 で す )。 


Listing 1.366: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


||] | PROC 
LDR r0,|L0.12| 
LDR r1,|L0.16| 
BX tr 
ENDP 
[L0.12| 
DCD 0x90abcdef 
[L0.16| 
DCD 0x12345678 
MIPS 


64 ビ ッ ト の 値 は VO-V1 ($2-$3) レジ スタ ペア を 使っ て 返さ れ ま す (VO ($2) は 高位 の 部 分 
を V1 ($3) は 低位 の 部 分 で す )。 


1539 ち な み に 、32 ビ ッ ト 値 は 16 ビ ッ ト 環 境 で も 同様 に ペア と し て 渡さ れ ま す : 2? on page ?? 
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Listing 1.367: 最適 化 GCC 4.4.5 (assembly listing) 


li $3,-1867841536 # 0xffffffff90ab0000 
li $2,305397760 # 0x12340000 

ori $3,$3,0xcdef 

j $31 

ori $2,$2,0x5678 


Listing 1.368: 最適 化 GCC 4.4.5 (IDA) 


lui $v1, 0х90АВ 

lui $v0, 0x1234 

li $v1, Ox90ABCDEF 
jr $ra 

li $v0, 0x12345678 


第 1.26.2 節 Arguments passing, addition, subtraction 


#include <stdint.h> 


utnt64 t f add (uint64 t a, uint64 t b) 
1 


}; 


return a+b; 


void f_add test () 


{ 
#ifdef _ GNUC ` 

printf ("%lld\n", f add(12345678901234, 23456789012345)); 
#else 

printf ("%I64d\n", f add(12345678901234, 23456789012345)); 
#endif 


Е 

uint64 t f sub (uint64 t a, uint64 t b) 

1 
return a-b; 

}; 

х86 

Listing 1.369: 最適 化 MSVC 2012 /Ob1 
_а$ = 8 ; size = 8 
_b$ = 16 ; size = 8 
f add PROC 

mov eax, DWORD PTR _a$[esp-4] 
add eax, DWORD PTR _b$[esp-4] 
mov edx, DWORD PTR a$[esp] 
adc edx, DWORD PTR _b$[esp] 
ret 0 


f add ENDP 
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f add test PROC 


push 5461 ; 00001555H 
push 1972608889 ; 75939f79H 
push 2874 ; 00000b3aH 
push 1942892530 ; 73ce2ff2H 
call _f add 

push edx 

push eax 

push OFFSET $561436 ; '%1640', бан, OOH 
call  printf 

add esp, 28 

ret 0 


f add test ENDP 


f sub PROC 
mov eax, DWORD PTR  a$[esp-4] 
sub eax, DWORD PTR b$[esp-4] 
mov edx, DWORD PTR a$[esp] 
sbb edx, DWORD PTR _b$[esp] 
ret 0 

f sub ENDP 


f add test() 関数 で は 、 各 64 ビ ッ ト 値 が が つの 32 ビ ッ ト 値 を 使用 し て 渡さ れる こと を 確 
認 で きま す 。 上 位 部 分 が 最初 に 、 次 に 下位 部 分 に な り ま す 。 


足し 算 と 引き 算 も ペア で 行わ れ ま す 。 


さら に 、 下 位 32 ビ ッ ト 部 分 が 最初 に 追加 され ます 。 加算 中 に キャ リー が 発生 し た 場合 は 、 
CF フラ グ が 設定 され ます 。 


次 の ADC 命令 は 、 値 の 上 位 部 分 を 加算 し 、C7 = 1 の 場合 は 1 を 加算 し ます 。 


減算 も ペア で 行わ れ ま す 。 最初 の SUB は 、 後 続 の SBB 命令 で チェ ッ ク さ れる CF フ ラグ を 
オン に する こと も で きま す 。 キャ リー フラ グ が オン の 場合 は 、 結 果 か ら 1 も 減算 され ます 。 


f add( ) 関数 の 結果 が どの よう に printf() に 渡さ れる の か を 理解 する の は 簡単 で す 。 
Listing 1.370: GCC 4.8.1 -O1 -fno-inline 


f add: 
mov eax, DWORD PTR [esp+12] 
mov edx, DWORD PTR [esp+16] 
add eax, DWORD PTR [esp+4] 
adc edx, DWORD PTR [esp+8] 
ret 

f add test: 
sub esp, 28 
mov DWORD РТА [esp+8] , 1972608889 ; 75939f79H 
mov DWORD PTR [esp+12] , 5461 ; 00001555H 
mov DWORD PTR [esp], 1942892530 ; 73ce2ff2H 
mov DWORD PTR [esp+4] , 2874 ; 00000b3aH 
call f add 


mov DWORD PTR [esp+4], eax 
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f sub: 


mov 
mov 
call 
add 
ret 


mov 
mov 
sub 
sbb 
ret 


DWORD PTR [esp+8] , edx 


DWORD PTR [esp], OFFSET FLAT:LCO ; 


| printf 
esp, 28 


eax, DWORD PTR [esp+4] 
edx, DWORD PTR [esp+8] 
eax, DWORD PTR [esp+12] 
edx, DWORD PTR [esp+16] 


"%lld\n" 


GCC の コー ド も 同様 で す 。 


ARM 
Listing 1.371: 最適 化 Keil 6/2013 (ARM モ ー ド ) 
f add PROC 
ADDS r0,r0,r2 
ADC rl,r1,r3 
BX tr 
ENDP 
f sub PROC 
SUBS r0,r0,r2 
SBC rl,r1,r3 
BX tr 
ENDP 
f add test PROC 
PUSH {tr4, lr} 
LDR r2,|L0.68| ; 0x75939f79 
LDR r3,|L0.72| ; 0x00001555 
LDR r0,|L0.76| ; 0x73ce2ff2 
LDR r1,|L0.80| ; 0x00000b3a 
BL f add 
POP {r4, lr} 
MOV r2,r0 
MOV r3,r1 
ADR r0,|L0.84| ; "*164d^n" 
B . 2printf 
ENDP 
|LO.68 | 
DCD 0x75939f79 
[L0.72| 
DCD 0x00001555 
[L0.76| 
DCD 0x73ce2f f2 
[L0.80| 
DCD 0x00000b3a 
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IL6.84| 
DCB "%T64dNn",6 


最初 の 64 ビ ッ ト 値 は RO と R1 の レジ スタ ペア に 渡さ れ 、2 番 目 の 値 は R2 と ВЗ の レジ 
スタ ペア に 渡さ れ ま す 。ARM に は ADC 命令 (キャ リー フラ グ を カウ ント する ) と SBC 
(「subtract with carry]) も あり ます 。 重 要 な こと : 下位 部 分 が 加算 / 減 算 さ れる と き 、-3S 接 
尾 辞 付 き の А005 お よび SUBS 命令 が 使用 され ます 。-S 接 尾 辞 は 「set fags」 を あら わし 、 
flags (特に キャ リー フラ グ ) は 、 結 果 と し て 生じ る ADC/SBC 命令 が 確実 に 必要 と する も 
の で す 。 そ う で な けれ ば 、 接尾 辞 -S を 付け ず に 命令 を 実行 し ます (ADD お よび SUB ), 


MIPS 
Listing 1.372: 最適 化 GCC 4.4.5 (IDA) 


f_add: 
; $a0 - high part of a 
; $a1 - low part of a 
; $a2 - high part of b 
; $a3 - low part of b 
addu $v1, $a3, $al ; sum up low parts 
addu $a0, $a2, $a0 ; sum up high parts 
; will carry generated while summing up Low parts? 
; if yes, set $v0 to 1 
sltu $vO, $vl, $a3 
jr $ra 
; add 1 to high part of result if carry should be generated: 
addu $v0, $a0 ; branch delay slot 
; $v0 - high part of result 
; $v1 - low part of result 


f sub: 
; $a0 - high part of a 
; $al - low part of a 
; $a2 - high part of b 
; $a3 - low part of b 
subu $vl, $al, $a3 ; subtract low parts 
subu $v0, $a0, $a2 ; Subtract high parts 
; will carry generated while subtracting low parts? 
; if yes, set $a0 to 1 
sltu $al, $v1 
jr $ra 
; subtract 1 from high part of result if carry should be generated: 
subu $v0, $a1 : branch delay slot 
; $v0 - high part of result 
; $v1 - low part of result 


f add test: 
var 10 - .0x10 
var 4 = -4 
lui $gp, ( gnu local gp >> 16) 


addiu $sp, -0x20 
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la $gp, ( gnu local gp & OxFFFF) 
sw $га, Ox20+var 4($SD) 

sw $gp, 0x20+var_10($sp) 

lui $al, 0x73CE 

lui $a3, 0x7593 

li $a0, OxB3A 

li $a3, 0x75939F79 

li $a2, 0x1555 

jal f_add 

li $al, Ox73CE2FF2 

lw $gp, 0x20+var_10($sp) 

lui $a0, ($LCO >> 16) "%Lld\n" 
lw $t9, (printf & OxFFFF ) ( $9D) 

lw $ra, 0x20+var_4($sp) 

la $a0, ($LCO & OxFFFF ) "95 L Ld n" 
move $a3, $v1 

move $a2, $v0 

jr $t9 


addiu $sp, 0x20 


$LCO: .ascii "%lldNn"<0> 


MIPS に は フラ グレ ジス タ が な いた め 、 算 術 演算 の 実行 後に その よう な 情報 は 存在 し ませ 
ん 。 そ の た め 、ADC や SBB よう な 命令 は あり ませ ん 。 キ ャ リー フラ グ が 設定 され る か どう 
か を 知る た め に 、 デ ステ ィ ネ ーション レジ スタ を 1 また は 0 に 設定 する 比較 {SLTU 命令 
使用 ) も 行わ れ ま す 。 その 後 、 こ の 1 また は 0 が 最終 結果 に 加算 また は 減算 され ます 。 


第 1.26.3 節 乗算 、 除 算 


#include <stdint.h> 


utnt64 t f mul (uint64 t a, uint64 t b) 


1 
return a*b; 
}; 
uint64 t f div (uint64 t a, uint64 t b) 
1 
return a/b; 
}; 
uint64 t f rem (uint64 t a, uint64 t b) 
1 
return a % b; 
}; 
x86 


Listing 1.373: 最適 化 MSVC 2013 /Ob1 
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.a$ = 
_b$ = 
f div 


_f div 


TE 


+ rem 


_f_rem 


16 ; size 
PROC 
push 
mov 
mov 
push 
mov 
push 
mov 
push 
mov 
push 
call 
pop 
ret 
ENDP 


8 ; size 
16 : size 


ret 
ENDP 


edx, 
edx 
eax, 
eax 


esp 
DWORD PTR _b$[ebp+4] 


DWORD PTR _b$[ebp] 
DWORD PTR _a$[ebp+4] 


DWORD PTR _a$[ebp] 


. allmul ; long long multiplication 


ebp 
ebp, 
eax, 
eax 
ecx, 
ecx 
edx, 
edx 
eax, 
eax 


. aulldiv ; unsigned long long division 


ebp 
0 


eax 


. aullrem ; unsigned long long remainder 


ebp 
0 


esp 
DWORD PTR _b$[ebp+4] 


DWORD PTR _b$[ebp] 
DWORD PTR _a$[ebp+4] 


DWORD PTR _a$[ebp] 


esp 
DWORD PTR _b$[ebp+4] 


DWORD PTR _b$[ebp] 
DWORD PTR _a$[ebp+4] 


DWORD PTR _a$[ebp] 


488 
乗算 と 除算 は より 複雑 な 演算 な の で 、 通 常 、 コ ン パ イラ は それ を 行う ライ ブラ リ 関 数 へ の 
呼び 出し を 埋め 込み ます 。 


これ ら の 機能 は ここ に 記述 され て いま す : ?? on page ?? 


Listing 1.374: 最適 化 GCC 4.8.1 -fno-inline 


_f_mul: 
push ebx 
mov edx, DWORD PTR [esp+8] 
mov eax, DWORD PTR [esp+16] 
mov ebx, DWORD PTR [esp+12] 
mov ecx, DWORD PTR [esp+20] 
imul ebx, eax 
imul ecx, edx 
mul edx 
add ecx, ebx 
add edx, ecx 
pop ebx 
ret 

_f div: 
sub esp, 28 
mov eax, DWORD PTR [esp+40] 
mov edx, DWORD PTR [esp+44] 
mov DWORD PTR [esp+8], eax 
mov eax, DWORD PTR [esp+32] 
mov DWORD PTR [esp+12], edx 
mov edx, DWORD PTR [esp+36] 
mov DWORD PTR [esp], eax 
mov DWORD PTR [esp+4], edx 
call |. udivdi3 ; unsigned division 
add esp, 28 
ret 

.f rem: 
sub esp, 28 
mov eax, DWORD PTR [esp+40] 
mov edx, DWORD PTR [esp+44] 
mov DWORD PTR [esp+8] , eax 
mov eax, DWORD PTR [esp+32] 
mov DWORD РТА [esp+12], edx 
mov edx, DWORD PTR [esp+36] 
mov DWORD PTR [esp], eax 
mov DWORD PTR [esp+4], edx 
call _ _umoddi3 ; unsigned modulo 
add esp, 28 
ret 


GCC は 期待 どおり に 機能 し ます が 、 乗 算 コ ー ド は 関数 内 で イン ライ ン 化 され て いる た め 、 
より 効率 的 に な る 可能 性 が あり ます 。 GCC に は 異な る 関数 名 の ライ ブラ リ あ り ま す : ?? 
on page ?? 
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ARM 
Thumb モ ー ド の Keil は ライ ブラ リサ ブル ー チ ン 呼 び 出し を 挿入 し ます 。 
Listing 1.375: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 


|+ ти || PROC 
PUSH {tr4, lr} 
BL . aeabi lmul 
POP {r4,pc} 
ENDP 
|| f. div|| PROC 
PU {r4, lr} 
BL _ aeabi uldivmod 
POP {r4,pc} 
ENDP 
|| f. rem|| PROC 
PUSH {tr4, tr} 
BL _ aeabi uldivmod 
MOVS ro,r2 
MOVS r1,r3 
POP {r4,pc} 
ENDP 


一 方 、ARM モ ー ド の Keil で は 64 ビ ッ ト の 乗算 コー ド を 生成 で きま す 。 


Listing 1.376: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


|| f. mut|| PROC 
PUSH 


{r4, tr} 
UMULL r12,r4,r0,r2 
MLA rl,r2,rl,r4 
MLA rl,r0,r3,r1 
MOV r0,r12 
POP {r4,pc} 
ENDP 
|| f. div|| PROC 
PUSH {tr4, lr} 
BL . aeabi uldivmod 
POP {r4,pc} 
ENDP 
|| f. rem|| PROC 
PU {r4, lr} 
BL . aeabi uldivmod 
MOV r0,r2 
MOV r1,r3 
POP {r4,pc} 
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MIPS 


MIPS 用 に 最適 化 GCC 64 ビ ッ ト 乗 算 コ ー ド を 生成 で きま す が 、64 ビ ッ ト 除 算 用 の ライ ブ 
ラリ ルー チン を 呼び 出す 必要 が あり ます 。 


Listing 1.377: 最適 化 GCC 4.4.5 (IDA) 


f mul: 
mult $a2, $al 
mf lo $v0 
or gat, $zero ; NOP 
or gat, $zero ; NOP 
mult $a0, $a3 
mf lo $a0 
addu $v0, $a0 
or gat, $zero ; NOP 
multu $a3, $al 
mfhi $a2 
mfto $v1 
jr $ra 
addu $v0, $а2 
f div: 
var 10 - -0x10 
var 4 = -4 
lui $gp, ( gnu local gp >> 16) 
addiu $sp, -0x20 
la $gp, ( gnu local gp & OxFFFF) 
sw $ra, Ox20+var 4($SD) 
Sw $gp, 0x20«var 10($sp) 
lw $t9, ( udivdi3 & OxFFFF)($9p) 
or $at, $zero 
jatr $t9 
or gat, $zero 
lw $га, Ox20+var_4($sp) 
or gat, $zero 
jr $га 
addiu $sp, 0х20 
f_rem: 
var_10 = -0x10 
var 4 = -4 
lui $gp, ( gnu local gp >> 16) 
addiu $sp, -0x20 
la $gp, ( gnu local gp & OxFFFF) 
SW $ra, Ox20+var 4($SD) 
Sw $gp, 0x20+var_10($sp) 
lw $t9, ( umodd13 & OxFFFF ) ($gp) 
or gat, $zero 
jalr $t9 


or gat, $zero 
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lw $га, 0x20+var_4($sp) 
or $at, $zero 
jr $ra 


addiu $sp, 0х20 


た くさ ん の NOP が あり ます 。 お そら く 乗 算命 令 の 後に 埋め られ た 遅延 スロ ッ ト で す (結局 
の と ころ 、 そ れ は 他 の 命令 より 遅い で す )。 


第 1.26.4 節 右 シ フト 


#include <stdint.h> 


uint64 t f (uint64 t a) 


1 

return a>>7; 
}; 
х86 

Listing 1.378: 最適 化 MSVC 2012 /Ob1 

_а$ = 8 ; size = 8 
_f PROC 

mov eax, DWORD PTR _a$[esp-4] 

mov edx, DWORD PTR a$[esp] 

shrd eax, edx, 7 

shr edx, 7 

ret 0 
_f ENDP 

Listing 1.379: 最適 化 GCC 4.8.1 -fno-inline 

f: 

mov edx, DWORD РТА [esp+8] 

mov eax, DWORD PTR [esp+4] 

shrd eax, edx, 7 

shr edx, 7 

ret 


シフ ト は 2 つの パス で も 発生 し ます : 最初 に 下部 が シフ ト さ れ 、 次 に 上 部 が シフ ト さ れ ま 
す 。 し か し 、 下 位 部 分 は SHD 命令 の 助け を 借り て シフ ト さ れ 、 そ れ は EAX の 値 を 7 ビッ 
ト だ け シ フト し ます が 、EDX か ら す な わ ち 上 位 部 分 か ら 新 し い ビ ッ ト を 引き 出し ます 。 つ 
まり 、EDX:EAX レジ スタ の ペア か ら の 64 ビ ッ ト 値 は 、 全 体 と し て 7 ビッ トシ フト され 、 結 
果 の 最 下 位 32 ビ ッ ト が EAX に 格納 され ます 。 上 位 部 分 は 、 よ り 一 般 的 な SHR 命令 を 使用 
し て シフ ト さ れ ま す 。 実際 、 上 位 部 分 の 解放 され た ビッ ト は ゼロ で 埋め られ な けれ ば な り 
ませ ん 。 
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ARM 


ARM は x86 で は SHD の よう な 命令 を 持っ て いな い の で 、Keil コ ン パ イラ は これ を 単純 な 
シフ ト と OR 演算 を 使っ て 行う べき で す 。 


Listing 1.380: 最適 化 Keil 6/2013 (ARM モ ー ド ) 


|||] PROC 

LSR r0,r0,#7 

ORR r0,r0,r1,LSL #25 

LSR rl,rl1,27 

BX tr 

ENDP 

Listing 1.381: 最適 化 Keil 6/2013 (Thumb モ ー ド ) 

|||] PROC 

LS r2,r1,#25 

LSRS r0,r0,#7 

ORRS r0,r0,r2 

LSRS rl, rl,#7 

BX tr 

ENDP 
MIPS 


MIPS 向 け の GCC は 、 Keil が Thumb モ ー ド で 行う の と 同じ アル ゴリ ズム に 従い ます 。 
Listing 1.382: 最適 化 GCC 4.4.5 (IDA) 


f: 
sll $v0, $a0, 25 
srl $v1, $a1, 7 
or $v1, $v0, $v1 
jr $ra 
srl $v0, $a0, 7 


第 1.26.5 節 32 ビ ッ ト 値 か ら 64 ビ ッ ト 値 へ の 変換 


#include <stdint.h> 


int64 t f (int32 t a) 
{ 


}; 


геїигп а; 


Listing 1.383: 最適 化 MSVC 2012 
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_f PROC 
mov eax, DWORD PTR a$[esp-4] 
cdq 
ret 0 
f ENDP 


ここ で も 、32 ビ ッ ト の 符号 付き 値 を 64 ビ ッ ト の 符号 付き 値 に 拡張 する 必要 が あり ます 。 符 
号 な し の 値 は 単純 に 変換 され ます : 上 位 部 分 の すべ て の ビッ ト は 0 に 設定 する 必要 が あり 
ます 。 た だ し 、 符 号 付 き デ ー タ 型 に は 適し て いま せん : 符号 は 結果 の 数 値 の 上 位 部 分 に コ 
ピー する 必要 が あり ます 。 


CDQ 命令 は ここ で それ を 行い ます 。EAX で その 入力 値 を 取り 、 そ れ を 64 ビ ッ ト に 拡張 し そ 
し て EDCEAX レジ スタ ペア に 残し ます 。 つ まり 、CDQ は (EAX の 最上 位 ビ ッ ト を 取得 する 
こと に よっ て ) EAX か ら 番 号 記号 を 取得 し 、 そ れ に 応じ て EDX の 32 ビ ッ ト す べ て を 0 また 
は 1 に 設定 し ます 。 その 動作 は 、MOVSX 命令 と や や 似 て いま す 。 


ARM 
Listing 1.384: 最適 化 Keil 6/2013 (ARM モ ー ド ) 
||] | PROC 
ASR r1,r0,#31 
BX tr 
ENDP 


ARM 用 Keil は 異な り ま す 。 入力 値 を 算術 的 に 右 に 31 ビ ッ ト シ フト し ます 。 知 っ て の 通り 、 
符号 ビッ ト は MSB で 、 算 術 シ フト は 符号 ビッ ト を 「 出 現し た 」 ビ ッ ト に コピ ー し ます 。 し 
た が っ て 、「ASR г1,г0,#311 の 後 、 入 力 値 が 負 の 場合 は R1 に 0xFFFFFFFF が 含ま れ 、 そ 
れ 以 外 の 場合 は 0 が 含ま れ ま す 。 R1 に は 、 結果 の 64 ビ ッ ト 値 の 上 位 部 分 が 含ま れ て いま す 。 
つま り 、 こ の コー ド は RO の 入力 値 か ら 結果 の 64 ビ ッ ト 値 の 上 位 32 ビ ッ ト 部 分 の すべ て 
の ビッ ト に MSB (符号 ビッ ト ) を コピ ー す る だ け で す 。 


MIPS 
MIPS 向 け の GCC は 、Keil が ARM モ ー ド で 行っ た の と 同じ こと を 行い ます 。 
Listing 1.385: 最適 化 GCC 4.4.5 (IDA) 


f: 
sra $у0, $a0, 31 
jr $ra 
move $v1, $a 
第 1.27 節 SIMD 


SIMD は 頭字 語 で す : Single Instruction, Multiple Data 
名 前 の 通り 、 複 数 の デー タ を 1 つの 命令 で 処理 し ます 。 
FPU と 同様 に 、CPU サ ブシ ステ ム は x86 内 で は 独立 し た プロ セッ サ の よう に 見 えま す 。 
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SIMD は x86 で MMX と し て 始ま り ま し た 。8 つ の 新しい 64 ビ ッ ト レ ジス タ が 登場 し まし た : 
MM0-MM7 


各 MMX レ ジス タ は 、2 つ の 32 ビ ッ ト 値 、4 つ の 16 ビ ッ ト 値 、 ま た は 8 バイ ト を 保持 で きま 
す 。 た と えば 、MMX レ ジス タ に 2 つの 値 を 追加 する こと で 、8 つ の 8 ビッ ト 値 (¿Sí F) を 
同時 に 追加 する こと が で きま す 。 


簡単 な 例 と し て 、 画 像 を 2 次 元 配 列 と し て 表現 する グラ フィ ッ ク エ ディ タ が あり ます 。 ユ 
ー ザ が 画像 の 明る さ を 変 更 す る と 、 エ ディ タ は 各 ピ クセ ル 値 に 係数 を 加減 する 必要 が あり 
ます 。 簡潔 に する た め に 、 画 像 が グレ ー ス ケー ル で 各 ピ クセ ル が 1 つの 8 ビッ トバ イト で 定 
義 さ れ て いる と し た ら 、8 ピ クセ ル の 明る さ を 同 時 に 変更 する こと が 可能 で す 。 


と ころ で 、 こ れ が 飽和 命令 が SIMD に 存在 する 理由 で す 。 


ユー ザ が グラ フィ ッ ク エ ディ タ で 明る さ を 変 更 す る と き 、 オ ー バ ー フ ロー と アン ダー フロ 
ー は 望ま し く な い の で 、 最 大 値 に 達する と 何 も 加 算 し な いと いう 追加 命令 が SIMD に あり 
ます 。 


MMX が 登場 し た と き 、 こ れ ら の レジ スタ は 実際 に は FPU の レジ スタ に あり まし た 。FPU ま 
た は MMX を 同時 に 使用 する こと は 可能 で し た 。Intel は トラ ンジ スタ を 節約 し た と 思う か 
も し れ ま せん が 、 実 際 に は その よう な 共生 の 理由 は より 単純 な も の で し た 。 追加 の CPU レ 
ジス タ を 意識 し な い OS は コン テキ スト スイ ッ チ で それ ら を 保存 せ ず 、FPU レ ジス タ を 保存 
し ます 。 し た が っ て 、MMX 機 能 を 利用 し た MMX 対 応 CPU + 古い OS + プロ セス は 依然 と 
し て 機能 し ます 。 


SSE は SIMD レ ジス タ を 128 ビ ッ ト に 拡張 し た も の で 、 現 在 は FPU と は 別 の も の で す 。 
AVX は 256 ビ ッ ト に し た 他 の 拡張 で す 。 

実用 的 な 用 途 は どう で し ょ うか 。 

も ちろ ん 、 こ れ は メモ リコ ピー ルー チン (memcpy)、 メ モリ 比較 (memcmp) な ど で す 。 


も う 1 つ の 例 : DES 暗 号 化 アル ゴリ ズム は 64 ビ ッ ト ブ ロッ ク と 56 ビ ッ ト キ ー を 受け 取り 、 
ブロ ッ ク を 暗号 化し て 64 ビ ッ ト の 結果 を 生成 し ます 。DES ア ル ゴ リ ズム は 、 ワ イヤ お よ 
び AND/OR/NOT ゲ ー ト を 有する 非常 に 大 き な 電 子 回 路 と 見 な すこ と が で きま す 。 


Bitslice DEST6590 は 、 ブ ロッ ク と キー の グル ー プ を 同時 に 処理 する と いう アイ デア で す 。 た 
と えば 、x86 の 符号 な し 整数 型 の 変数 は 最大 32 ビッ ト を 保持 で きる た め 、64 個 +56 個 の 符 
号 な し 整数 型 の 変数 を 使用 し て 、32 個 の ブロ ッ ク キ ー ペ ア の 中 間 結 果 を 同時 に 格納 で きま 
す 。 


There is an utility to brute-force Oracle RDBMS passwords/hashes (ones based on 
DES), using slightly modified bitslice DES algorithm for SSE2 and AVX—now it is 
possible to encrypt 128 or 256 block-keys pairs simultaneously. SSE2 お よび AVX 用 
に わずか に 修正 され た bitslice DES ア ル ゴ リ ズム を 使用 し て 、Oracle RDBMS の パス ワー 
ド / ハ ッシュ (DES に 基づく も の ) を ブル ー ト フォ ー ス する ユー ティ リティ が あり ます 。 
128 ま た は 256 の ブロ ッ ク キ ー ペ ア を 暗号 化す る こと が 可能 で す 。 


http://conus.info/utils/ops SIMD/ 


160http://www.darkside.com.au/bitslice/ 
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第 1.27.1 節 ベク トル 化 


ベク トル 化 1 せ 1 は 、 た と えば 、 入 力 用 に 2 つの 配列 を 取り 、1 つ の 配列 を 生成 する ルー プ が あ 
る 場合 で す 。 ル ー プ 本 体 は 入力 配列 か ら 値 を 受け 取り 、 何 か を 実行 し て 結果 を 出力 配列 に 
入れ ます 。 ベ クト ル 化 は 、 い くつ か の 要素 を 同時 に 処理 する こと で す 。 


ベク トル 化 は それ ほど 新鮮 な テク ノロ ジ で は あり ませ ん 。 こ の 教科 書 の 作者 は 、 少 な く と 
も 1988 年 の Cray YYMP ス ー パ ー コ ンピュータ ライ ン で 、 そ の 「 ラ イト 」 バー ジョ ン の Cray 
Y-MP EL 179 を 使っ た こと を 見 まし た 。 162. 


例え ば : 


for (i = 0; i < 1024; i++) 


C[i] = А[1]*В[1]; 
) 


この コー ド 片 は 、A と B か ら 有 要素 を 取り 出し 、 そ れ ら を 乗算 し て 結果 を C に 保存 し ます 。 


各 配 列 要素 が 32 ビ ッ ト int の 場合 、 A か ら 128 ビ ッ ト の XMM レ ジス タ へ 、B か ら 別 の XMM レ 
ジス タ へ 、PMULLD (Multiply Packed Signed Dword Integers and Store Low Result) お 
よび PMULHW (Multiply Packed Signed Integers and Store High Result) を 実行 する こと 
で 、 一 度 に 4 つの 64 ビ ッ ト 積 s を 取得 で きま す 。 

し た が っ て 、 ル ー プ 本 体 の 実行 数 は 1024 で は な く 1024/4 と な り 、4 倍 少な く な り 、 も ちろ 
ん 高速 に な り ま す 。 


加算 の 例 


Intel C++!163 の よう に 、 単 純 な 場合 に は 自動 的 に ベク トル 化 を 実行 で きる コン パイ ラー も 
あり ます 。 


これ が 小さ な 機能 で す 。 


int f (int sz, int *arl, int *ar2, int *ar3) 


{ 
for (int i=0; i<sz; i++) 
аг3[1]=аг1[1]+аг2[1]; 
return 0; 
}; 
Intel С++ 


それ を Intel С++ 11.1.051 win32 で コン パイ ル し まし ょ う 。 
icl intel.cpp /QaxSSE2 /Faintel.asm /0x 
(IDA で ) 次 の 結果 を 得 まし た 。 


161Wikipedia: vectorization 
162 リ モー ト か ら 。 そ れ は スー パー コン ピュ ー タ の 博物 館 に 設置 され て いま す : http: //www.cray-cyber.org 
163 イ ン テ ル C ++ 自 動 ベ クト ル 化 に つい て の 詳細 : Excerpt: Effective Automatic Vectorization 
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; int cdecl f(int, int *, int *, int *) 
public ?f@@YAHHPAHO0@Z 
?f@@YAHHPAH00G@Z proc near 


var_10 = dword ptr -10h 

SZ = dword ptr 4 

arl = dword ptr 8 

ar2 = dword ptr 0Ch 

ar3 = dword ptr 10h 
push edi 
push esi 
push ebx 
push esi 
mov edx, [еѕр+10һ+52] 
test edx, edx 
jle loc 15B 
mov eax, [esp+10h+ar3] 
cmp edx, 6 
jle loc 143 
cmp eax, [esp+10h+ar2] 
jbe short loc 36 
mov esi, [esp+10h+ar2] 
sub esi, eax 
lea ecx, ds:0[edx*4] 
neg esi 
cmp ecx, esi 
jbe short loc 55 

loc 36: ; CODE XREF: f(int,int *,int *,int *)+21 
cmp eax, [еѕр+10һ+аг2] 
jnb loc 143 
mov esi, [еѕр+10һ+аг2] 
sub esi, eax 
lea ecx, ds:O[edx*4] 
cmp esi, ecx 
jb loc 143 

loc 55: ; CODE XREF: f(int,int *,int *,int *)+34 
cmp eax, [еѕр+10һ+аг1] 
jbe short loc 67 
mov esi, [еѕр+10һ+аг1] 
sub esi, eax 
neg esi 
cmp ecx, esi 
jbe short loc 7F 

loc 67: ; CODE XREF: f(int,int *,int *,int *)+59 
cmp eax, [еѕр+10һ+аг1] 
jnb loc 143 
mov esi, [еѕр+10һ+аг1] 
sub esi, eax 


cmp esi, ecx 
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loc 7F: 


loc 9A: 


loc C1: 


loc D6: 


か ? 


loc ED: 


; CODE 


; CODE 
mov 
lea 


test 
jz 
mov 
mov 


; CODE 
movdqu 
movdqu 


loc 143 


XREF: f(int,int *,int *,int *)+65 

edi, eax ; edi = ar3 

edi, OFh ; ar3 は 16 バ イト 境界 で アラ イン メン ト さ れ て いる か ? 
short toc 9A ; は い 

edi, 3 

loc 162 

edi 

edi, 10һ 

edi, 2 


XREF: f(int,int *,int *,int *)+84 
ecx, [edi+4] 

edx, ecx 

loc 162 

ecx, edx 

ecx, edi 

ecx, 3 

ecx 

ecx, edx 

edi, edi 

short loc D6 

ebx, [еѕр+10һ+аг2] 
[esp+10h+var 10], ecx 
ecx, [еѕр+10һ+аг1] 
esi, esi 


XREF: f(int,int *,int *,int *)+CD 
edx, [есх+еѕі*4] 

edx, [ерх+еѕі*4] 

[еах+еѕі*4], edx 

esi 

esi, edi 

short loc Cl 

ecx, [esp+10h+var 10] 

edx, [esp+10h+sz] 


XREF: f(int,int *,int *,int *)+B2 
esi, [еѕр+10һ+аг2] 
esi, [esi-edi*4] ; ar2+1*4 は 16 バ イト 境界 で アラ イン メン ト さ れ て いる 


esi, OFh 

short loc 109 ; は い ! 
ebx, [еѕр+10һ+аг1] 

esi, [esp+10h+ar2] 


XREF: f(int,int *,int *,int *)+105 
xmml, xmmword ptr [ерх+еді*4] ; аг1+1*4 
xmm0, xmmword ptr [esi+edi*4] ; ar2+1*4 は 16 バ イト 境界 で アラ イン メ 


ント され て いな い の で 、XMM90 に ロー ド さ れる 


paddd 
movdqa 
add 


xmml, xmmO 
xmmword ptr [eax+edi*4], xmml ; ar3+i*4 
edi, 4 
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cmp 
jb 
jmp 
loc 109: ; 


mov 
mov 


loc 111: ; 


edi, ecx 
short loc_ED 
short toc 127 


CODE XREF: f(int,int *,int *,int *)+E3 
ebx, [esp+10h+ar1] 
esi, [esp+10h+ar2] 


CODE XREF: f(int,int *,int *,int *)+125 


movdqu xmm0, xmmword ptr [ebx+edi*4] 
paddd xmm0, xmmword ptr [esi+edi*4] 
movdqa xmmword ptr [eax+edi*4], xmmO 


loc 143: ; 
mov 
mov 
xor 


loc_14D: ; 


edi, 4 
edi, ecx 
short loc 111 


CODE XREF: f(int,int *,int *,int *)+107 
f(int,int *,int *,int *)+164 

ecx, edx 

short loc 15B 

esi, [еѕр+10һ+аг1] 

edi, [esp+10h+ar2] 


CODE XREF: f(int,int *,int *,int *)+13F 
ebx, [еѕі+есх*4] 
ebx, [edi+ecx*4] 
[eax+ecx*4], ebx 
ecx 
ecx, edx 
short loc 133 
short loc 15B 


CODE XREF: f(int,int *,int *,int *)+17 
f(int,int *,int *,int *)+3A ... 

esi, [esp+10h+ar1] 

edi, [esp+10h+ar2] 

ecx, ecx 


CODE XREF: f(int,int *,int *,int *)+159 
ebx, [еѕі+есх*4] 
ebx, [edi+ecx*4 ] 
[eax+ecx*4] , ebx 
ecx 
ecx, edx 
short loc 14D 


CODE XREF: f(int,int *,int *,int *)+A 
f(int,int *,int *,int *)4129 ... 

eax, eax 

ecx 

ebx 

esi 

edi 
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retn 


loc 162: ; CODE XREF: f(int,int *,int *,int *)+8C 
; f(int,int *,int *,int *)+9F 
xor ecx, ecx 
jmp short loc 127 
?f@@YAHHPAH00@Z endp 


SSE2 関 連 の 命令 は 以下 の と お り で す 。 


・ MOVDQU (Move Unaligned Double Ouagwor/ の 9) 一 メモ リ か ら 16 バ イト を XMM レ ジス 
タ に ロー ド し ます 

PADDD (Add Packed /rege/s) 一 4 対 の 32 ビ ッ ト 数 を 加算 し 、 そ の 結果 を 最初 の オペ 
ラン ド に 残し ます 。 ち な み に 、 オ ー バ ー フ ロー が 発生 し て も 例外 は 発生 せ ず 、 フ ラグ 
も 設定 され ませ ん 。 結 果 の 下位 32 ビ ッ ト だ けが 格納 され ます 。PADDD の オペ ラン ド 
の 1 つが メモ リ 内 の 値 の アド レス で ある 場合 、 そ の アド レス は 16 バ イト 境界 に 揃え ら 
れ て いる 必要 が あり ます 。 整列 され て いな い 場 合 は 、 例 外 が 発生 し ます 。 

・ MOVDQA (Move Aligned Double Quadword) は MOVDQU と 同じ で す が 、 メ モリ 内 の 
値 の アド レス を 16 ビ ッ ト 境 界 に 揃え る 必要 が あり ます 。 整列 され て いな いと 、 例 外 が 
発生 し ます 。 MOVDQA は MOVDQU より も 高速 に 動作 し ます が 、 前 述 の も の が 必要 で す 。 

その た め 、 こ れ ら の SSE2 命 令 は 、 作 業 す る ペア が 4 つ 以 上 あり 、 ポ イン タ ar3 が 16 バ イ 
ト 境 界 に 整 別 し て いる 場合 に の み 実 行 さ れ ま す 。 

また 、ar2 が 16 バ イト 境界 に も 揃え られ て いる 場合 は 、 次 の コー ド が 実行 され ます 。 
movdqu xmm0, xmmword ptr [ebx+edi*4] ; arl+1*4 


paddd xmm0, xmmword ptr [esi+edi*4] ; ar2+i*4 
помада xmmword ptr [eax+edi*4], xmm0 ; ar3+i*4 


そう で な けれ ば 、ar2 か ら の 値 は 、MOVDQU を 使用 し て XMMO に ロー ド さ れ ま す 。 こ れ は 、 
位置 合わ せ さ れ た ポイ ンタ ー を 必要 と し ませ ん が 、 遅 く な る 可能 性 が あり ます 。 


movdqu xmml, xmmword ptr [ebx+edi*4] ; ar1+1 キ 4 

movdqu xmm0, xmmword ptr [esitedi*4] ; ar2+1*4 は 16 バ イト 境界 に アラ イン メン ト さ れ 
て いな い の で 、XMMO0 に ロー ド さ れる 

paddd xmml, xmmO 

помада xmmword ptr [eax+ed1*4] , xmml ; ar3+i*4 


それ 以外 の 場合 は 、SSE2 以 外 の コー ド が 実行 され ます 。 
GCC 


-03 オプ ショ ン が 使用 され 、SSE2 サ ポー ト が オン に な っ て いる 場合 、GCC は 単純 な 場合 に 
も ベク トル 化す る こと が あり ます *94 


以下 を 得 ま す (GCC 4.4.1)。 


164GCC ベ クト ル 化 サポ ー ト に つい て の 詳細 は : http://gcc.gnu.org/projects/tree- ssa/ 
vectorization. html 
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; f(int, int *, int *, int *) 


_Z1fiPiS S- 


var_18 
var 14 
var 10 
arg 0 
arg 4 
arg 8 
arg C 


loc 80484С1: 


loc 80484C8: 


loc 80484D8: 


public Z1fiPiS S 


proc near 
= dword ptr -18h 

= dword ptr -14һ 

= dword ptr -10h 

= dword ptr 8 

= dword ptr 0Сһ 

= dword ptr 10h 

= dword ptr 14h 

push ebp 

mov ebp, esp 

push edi 

push esi 

push ebx 

sub esp, OCh 

mov ecx, [ebp«arg 0] 
mov esi, [ebptarg 4] 
mov edi, [ebp+arg 8] 
mov ebx, [ebp«arg C] 
test ecx, ecx 

jte short loc 80484D8 
cmp ecx, 6 

lea eax, [ebx+10h] 

ja short loc 80484E8 


; CODE XREF: f(int,int *,int *,int *)+4B 
; f(int,int *,int *,int *)+61 ... 


xor eax, eax 
nop 
lea esi, [es1+0] 


; CODE XREF: f(int,int *,int *,int *)+36 


mov edx, [edi+eax*4 ] 

add edx, [es1+eax*4 ] 

mov [ebx+eax*4], edx 

add eax, 1 

cmp eax, ecx 

jnz short toc 80484C8 


; CODE XREF: f(int,int *,int *,int *)+17 
; f(int,int *,int *,int *)+A5 


add esp, OCh 
xor eax, eax 
pop ebx 

pop esi 

pop edi 

pop ebp 

retn 
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loc 80484E8: 


loc 80484F8: 


loc 8048503: 


loc 8048520: 


loc 8048547: 


loc 8048558: 


; CODE XREF: f(int,int *,int *,int *)+1F 


test 
jnz 
lea 
cmp 
jbe 


bl, OFh 

short loc 80484C1 
edx, [es1+10h] 
ebx, edx 

loc 8048578 


; CODE XREF: f(int,int *,int *,int *)+E0 


edx, [edi+10h] 
ebx, edx 

short loc 8048503 
edi, eax 

short loc 80484C1 


; CODE XREF: f(int,int *,int *,int *)+5D 


eax, ecx 
eax, 2 

[ebp+var 14], eax 
eax, 2 

eax, eax 

[ebp+var 10], eax 
short loc 8048547 
[ebp+var 18], ecx 
ecx, [ebp+var 14] 
eax, eax 

edx, edx 


; CODE XREF: f(int,int *,int *,int *)+9B 


movdqu 
movdqu 
add 


xmml, xmmword ptr [edi+eax] 
xmm0, xmmword ptr [esi+eax] 
edx, 1 

xmmO, xmml 

xmmword ptr [ebx+eax], xmmO 
eax, 10h 

edx, ecx 

short loc 8048520 

ecx, [ebp+var 18] 

eax, [ebp+var 10] 

ecx, eax 

short loc 80484D8 


; CODE XREF: f(int,int *,int *,int *)+73 


lea 
add 
add 
add 
lea 


edx, ds:O[eax*4] 
esi, edx 

edi, edx 

ebx, edx 

esi, [es1+0] 


; CODE XREF: f(int,int *,int *,int *)+CC 


mov 
add 


edx, [edi] 
eax, 1 


502 


add edi, 4 

add edx, [esi] 
add esi, 4 

mov [ebx], edx 
add ebx, 4 

cmp ecx, eax 
19 short loc 8048558 
add esp, OCh 
xor eax, eax 
pop ebx 

pop esi 

pop edi 

pop ebp 

retn 


loc_8048578: ; CODE XREF: f(int,int *,int *,int *)+52 


cmp eax, esi 
jnb loc_80484C1 
jmp loc_80484F8 


_ZlfiPiS 5 епар 


し か し 、 ほ ば ぼ 同 じ で す が 、Intel C++ ほ ど 細 心 の 注意 を 払っ て いま せん 。 


メモ リコ ピー の 例 
簡単 な memcpy() の 例 を も う 一 度 見 て み ま し ょ う 。(1.16.2 on page 239): 


#include <stdio.h> 


void my_memcpy (unsigned char* dst, unsigned char* src, size t cnt) 
{ 
size t i; 
for (i=0; i<cnt; i++) 
dst[i]=src[i]; 
}; 


GCC 4.9.1 の 最適 化 に よる も の で す 。 
Listing 1.386: 最適 化 GCC 4.9.1 x64 


my memcpy: 


; RDI = コピ ー 先 アド レス 

; RSI = コピ ー 元 アド レス 

; RDX = ブロ ッ ク サ イズ 
test rdx, rdx 
je .L41 
lea rax, [rdi+16] 
cmp rsi, rax 
lea rax, [rsi+16] 
setae cl 
cmp rdi, rax 
setae al 
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je 
cmp 
jbe 
mov 
push 
push 
neg 
and 
cmp 
cmova 
xor 
test 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 


.L13 
rdx, 
.L13 
rcx, 
rbp 

rbx 

rcx 

ecx, 
rcx, 
rcx, 
eax, 
rcx, 
.L4 

eax, 
rcx, 
BYTE 
.L15 
eax, 
rcx, 
BYTE 
.L16 
eax, 
rcx, 
BYTE 
.L17 
eax, 
rcx, 
BYTE 
.L18 
eax, 
rcx, 
BYTE 
.L19 
eax, 
rcx, 
BYTE 
.L20 
eax, 
rcx, 
BYTE 
.L21 
eax, 
rcx, 
BYTE 
.L22 
eax, 
rcx, 
BYTE 
.L23 
eax, 
rcx, 
BYTE 
.L24 


22 


rsi 


15 

rdx 
rdx 
eax 
rcx 


BYTE PTR [rsi] 
1 
PTR [rdi], al 


BYTE PTR [rsi+1] 
2 
PTR [rdi+1], al 


BYTE PTR [rsi+2] 
3 
PTR [rdi+2], al 


BYTE PTR [rs1+3] 
4 
PTR [rdi+3], al 


BYTE PTR [rsi+4] 
5 
PTR [rdi+4], al 


BYTE PTR [rsi+5] 
6 
PTR [rdi+5], al 


BYTE PTR [rsi+6] 
7 
PTR [rdi+6], al 


BYTE PTR [г51+7] 
8 
PTR [rdi+7], al 


BYTE PTR [rs1+8] 
9 
PTR [rdi+8], al 


BYTE PTR [rsi+9] 
10 
PTR [rdi+9], al 
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.L4: 


.L7: 


.L6: 


movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
jne 
movzx 
mov 
mov 


mov 
lea 
sub 
lea 
sub 
shr 
add 
mov 
sal 
cmp 
jbe 
lea 
xor 
add 
xor 


movdqa 
add 
movups 
add 


eax, BYTE PTR [rsi-10] 
rcx, 11 

BYTE PTR [rdi+10], al 
. L25 

eax, BYTE PTR [rsi+11] 
rcx, 12 

BYTE PTR [rdi+11], al 
. L26 

eax, BYTE PTR [rsi+12] 
rcx, 13 

BYTE PTR [rdi+12], al 
. L27 

eax, BYTE PTR [rsi+13] 
rcx, 15 

BYTE PTR [rdi+13], al 
. L28 

eax, BYTE PTR [rsi+14] 
BYTE PTR [rdi+14], al 
eax, 15 


r10, rdx 

r9, [rdx-1] 
r10, rcx 

r8, [r10-16] 
r9, rcx 

r8, 4 

r8, 1 

r11, r8 

rll, 4 

r9, 14 

.L6 

rbp, [rs1+rCx] 
r9d, r9d 
rcx, rdi 
ebx, ebx 


xmm0, XMMWORD PTR [rbp+0+r9] 
rbx, 1 

XMMWORD PTR [rcx+r9], xmmO 
r9, 16 

rbx, гё 

.L7 

rax, r11 

r10, r11 

.L1 


ecx, BYTE PTR [гѕі+гах] 
BYTE PTR [rdi+rax] , cl 
rcx, [rax+1] 

rdx, rcx 

.L1 

ecx, BYTE PTR [rs1+1+rax] 
BYTE PTR [rdi+1+rax] , cl 
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lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 


rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 


[rax+2] 
rcx 


BYTE PTR [rsi+2+rax] 
PTR [rdi+2+rax], CLl 
[rax+3] 

rcx 


BYTE PTR [rsi+3+rax] 
PTR [rdi+3+rax], сї 
[rax+4] 

rcx 


BYTE PTR [rsi+4+rax] 
РТА [rdi+4+rax], сї 
[rax+5] 

rcx 


BYTE PTR [rsi+5+rax] 
PTR [rdi+5+rax], cl 
[rax+6] 

rcx 


BYTE PTR [rsi+6+rax] 
PTR [rdi+6+rax], сї 
[rax+7] 

rcx 


BYTE PTR [rsi+7+rax] 
РТА [rdi+7+rax], cl 
[rax+8] 

rcx 


BYTE PTR [rsi+8+rax] 
PTR [rdi+8+rax], cl 
[rax+9] 

rcx 


BYTE PTR [rsi+9+rax] 
PTR [rdi+9+rax], cl 
[rax+10] 

rcx 


BYTE PTR [rsi+10+rax] 
PTR [rdi+10+rax], cl 
[rax+11] 

rcx 


BYTE PTR [rsi+11+rax ] 
PTR [rdi+11+rax] , cl 
[ rax+12 ] 

rcx 
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.L1: 


.L41: 


.L13: 


.L3: 


.L28: 


.L15: 


.L16: 


117: 


‚118: 


‚119: 


‚120: 


‚121: 


‚122: 


movzx 
mov 
lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 
movzx 
mov 


pop 
pop 


rep ret 
xor 


movzx 
mov 
add 
cmp 
jne 
rep ret 


mov 
jmp 
mov 
jmp 
mov 
jmp 
mov 
jmp 
mov 
jmp 
mov 
jmp 
mov 
jmp 
mov 
jmp 


mov 
jmp 


ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

edx, 
BYTE 


rbx 
rbp 


eax, 


ecx, 
BYTE 
rax, 
rax, 
.L3 


eax, 
14 


еах, 
14 


еах, 
14 


еах, 
14 


еах, 
14 


еах, 
14 


еах, 
14 


еах, 
14 


еах, 
14 


BYTE PTR [rsi+12+rax] 
PTR [rdi+12+rax], cl 
[rax+13] 

rcx 


BYTE PTR [rs1+13+rax ] 
PTR [rdi+13+rax] , cl 
[ rax+14 ] 

rcx 


BYTE PTR [rs1+14+rax ] 
PTR [rdi+14+rax], dl 


еах 


ВҮТЕ РТА [rsi+rax] 
PTR [rdi+rax], сї 
1 

rdx 


14 
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.L23: 
mov eax, 9 
jmp .L4 
.L24: 
mov eax, 10 
jmp .L4 
.L25: 
mov eax, 11 
jmp .L4 
.L26: 
mov eax, 12 
jmp .L4 
.L27: 
mov eax, 13 
jmp .L4 


第 1.27.2 節 SIMD strlen() 実装 


SIMD 命 令 は 、 特 別 な が マク ロ 1@5 を 介し て C/C++ コー ド に 挿入 で きる こと に 注意 し な けれ 
ば な り ま せん 。MSVC の 場合 、 それら の いく つか は intrin.h ファ イル に あり ます 。 


SIMD 命 令 を 使用 し て strten( ) 関数 +66 を 実装 する こと は 、 一 般 的 な 実装 より も 2-2.5 倍 
高速 に 実行 で きま す 。 こ の 関数 は 16 文 字 を XMM レ ジス タ に ロー ド し 、 そ れ ぞ れ を ゼロ と 照 
合 し ます 。167. 


size t strlen sse2(const char *str) 
{ 
register size t len = 0; 
const char *s=str; 
bool str is aligned=(((unsigned 1nt) str)&OxFFFFFFFO ) == (unsigned int) 
s str; 


if (str is aligned--false) 
return strlen (str); 


. m128i xmm0 = mm setzero s1128( ) 
. m1281 xmm1: 
int mask = 0; 


for (;;) 
t 
xmml = mm_load_sil28((_ m1281 *)s); 
хтт1 = mm cmpeq epi8(xmml, xmm0); 
if ((mask = mm movemask epi8(xmml)) != 0) 
t 


unsigned long pos; 
_BitScanForward(&pos, mask); 
len += (size t)pos; 


165MSDN: MMX, SSE, and SSE2 Intrinsics 
166strlen() 一 文字 列 長 を 計算 する 標準 C ラ イブ ラリ 関数 
167 こ の 例 は 、 以下 の ソー スコ ー ド に 基づい て いま す 。 : http: //www. strchr.com/sse2 optimised strlen. 
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break; 


s += sizeof( m128i); 
len += szeof( m128i); 


}; 


return len; 


/0x オプ ショ ン を 付け て MSVC 2010 で コン パイ ル し まし ょ う 。 
Listing 1.387: 最適 化 MSVC 2010 


= -4 ; イズ = 

_str$ = イズ = 

?strlen EG PROC te sse2 
push ebp 
mov ebp, esp 
and esp, -16 ; fffffffOH 
mov eax, DWORD PTR _str$[ebp] 
sub esp, 12 ; 0000000cH 
push esi 
mov esi, eax 
and esi, -16 ; fffffffOH 
xor edx, edx 
mov ecx, eax 
cmp esi, eax 
je SHORT $LN4@strlen_sse 
lea edx, DWORD PTR [еах+1] 
npad 3 ; 次 の ラベ ル を アラ イン メン ト 

$LL11@strlen_ sse: 

mov cl, BYTE PTR [eax] 
inc eax 
test cl, cl 
jne SHORT $LL11@strlen_sse 
sub eax, edx 
pop esi 
mov esp, ebp 
pop ebp 
ret 0 


$LN4@strlen_sse: 


movdqa 
pxor 
pcmpeqb 
pmovmskb 
test 

jne 


xmm1, XMMWORD PTR [eax] 
xmmO, xmmO 

xmml, xmmO 

eax, xmml 

eax, eax 

SHORT $LN9@strten sse 


$LL3Gstrlen sse: 


movdqa 
add 
pcmpeqb 
add 
pmovmskb 


xmm1, XMMWORD PTR [ecx+16] 


ecx, 16 ; 00000010H 
xmml, xmmO 
edx, 16 ; 00000010H 
eax, xmml 
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test eax, eax 
je SHORT $LL3@strlen_sse 
$LN9Gstrlen sse: 
bsf eax, eax 
mov ecx, eax 
mov DWORD PTR _pos$75552[esp+16], eax 
lea eax, DWORD PTR [ecx+edx] 
pop esi 
mov esp, ebp 
pop ebp 
ret 0 
?strlen_sse2@@YAIPBD@Z ENDP ; strlen sse2 


どう 機能 する で し ょ うか ? ま ず 第 一 に 、 私 達 は 機能 の 目的 を 理解 し な けれ ば な り ま せん 。 
これ は C 文 字 列 の 長 さ を 計算 し ます が 、 別 の 用 語 を 使用 する こと も で きま す 。 タ スク は ゼ 
ロバ イト を 検索 し 、 次 に 文字 列 の 開始 位置 に 対す る 位置 を 計算 する こと で す 。 


EF, str ポイ ンタ が 16 バ イト 境界 に 揃っ て いる か どう か を 調べ ます 。 そ う で な けれ ば 、 
一 般 的 な strten( ) 実装 を 呼び 出し ます 。 


次 に 、MOVDQA を 使用 し て 次 の 16 バ イト を XMM1 レジ スタ に ロー ド し ます 。 


注意 深い 読者 が 尋ね る か も し れ ま せん 、 な ぜ ポ イン ター アラ イメ ント に 関係 な く メ モリ か 
ら デ ー タ を ロー ド で きる の に MOVDQU が ここ で 使用 で き な い の で すか ? 


は い 、 そ れ は この よう に し て 行わ れる か も し れ ま せん : も し ポイ ンタ が アラ イン メン ト し 
て いれ ば 、MOVDQA を 使用 し て デー タ を ロー ド し 、 そ う で な けれ ば より 遅い MOVDQU を 使 
用 し ます 。 


し か し 、 こ こ で 我々 は 別 の 警告 を 受け る か も し れ ま せん 。 


Windows NT 系 列 の OS に お いて (し か し それ に 限定 され な い ) 、 メ モリ は 4KiB (4096 バ 
イト ) の ペー ジ に よっ て 割り 当て られ ます 。 各 win32 プ ロ セ ス に は 4GiB の 空き 容量 が あり 
ます が 、 実 際 に は 、 ア ドレ ス 空 間 の 一 部 の み が 実 際 の 物理 メモ リ に 接続 され て いま す 。 プ 
ロ セ ス が 存在 し な い メ モリ ブロ ッ ク に アク セス し て いる 場合 は 、 例 外 が 発生 し ます 。 それ 
が VM の し くみ で す 198。 


し た が っ て 、 一 度 に 16 バ イト を ロー ド す る 関数 は 、 割 り 当 て られ た メモ リブ ロッ ク の 境界 
を また ぐ で こと が あり ます 。O5S が アド レス 0x008c0000 に 8192 (0x2000) バイ ト を 割り 当て 
た と し まし ょ う 。 し た が っ て 、 ブ ロッ ク は アド レス 0x008c0000 か ら 始ま り 0x008c1fff ま 
で を 含む バイ ト で す 。 

ブロ ッ ク の 後 、 つ まり アド レス 0x008c2000 か ら 始ま り 、 そ こ に は 何 も あ り ま せん 。OS は 
そこ に メモ リ を 割り 当て て いま せん 。 そ の アド レス か ら メ モリ に アク セス し よう と する と 、 
例外 が 発生 し ます 。 


プロ グラ ム が ほぼ ブロ ッ ク の 最後 に 5 文字 を 含む 文字 列 を 保持 し て いる と いう 例 を 考え て 
み ま し ょ う 。 それ は 違法 な 行為 で は あり ませ ん 。 


168 


wikipedia 
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0x008c1ff8 | 'h 
0x008c1ff9 | 'e 
0x008c1ffa | ' 
0x008c1ffb | ' 
0x008c1ffc | 'o 
0x008c1ffd | '\x00’ 

0x008c1ffe | ラン ダム ノイ ズ 


0x008c1fff | ラン ダム ノイ ズ 


し た が っ て 通常 の 状態 で は 、 プ ログ ラム は strten( ) を 呼び 出し て 、 ア ドレ ス 0x008c1ff8 の 
メモ リ に 配置 され た 文字 列 'heLLo' へ の ポイ ンタ を 渡し ます 。 strlen() は 0x008c1ffd ま 
で 1 バイ ト ず つ 読 み 込 み ま す 。0x008c1ffd は バイ ト が 0 で す が 、 そ の 後 は 停止 し ます 。 


整列 され て いる か どう か に か か わら ず 、 任意 の アド レス か ら 始 め て 一 度 に 16 バ イト を 読み 
取る 独自 の strten( ) を 実装 する と 、MOVDOU は アド レス 0x008c1ff8 か ら 最 大 16 バ イト 
を 一 度 に 0x008cC2008 ま で ロー ド し よう と し て 、 例 外 が 発生 し ます 。 も ちろ ん 、 そ の よう 
な 状況 は 避け る べき で す 。 


その た め 、 私 た ち は 16 バ イト 境界 に 整 多 され た アド レス で の み 動 作 し ます 。 こ れ は 、OS の 
ペー ジ サ イズ が 通常 16 バ イト 境界 に 整列 され て いる と いう 知識 と 組み 合わ せる と 、 あ る 程 
度 の 保証 が 得 ら れ ま す 。 私 た ちの 関数 は 、 割 り 当 て られ て いな い メ モリ か ら 読 み 込 み ま せ 
ん 。 


私 た ちの 機能 に 戻り まし ょ う 。 


mm setzero s1128( ) は 、pxor xmm0、xmm0 .it を 生成 する マク ロ で 、XMM0 レ ジス 
タ を クリ ア す る だ け で す 。 


_mm load s1128( ) は MOVDQA の マク ロ で 、 ア ドレ ス か ら XMM1 レ ジス タ に 16 バ イト を 
ロー ド す る だ け で す 。 


mm cmpeq ep18( ) は 2 つの XMM レ ジス タ を バイ ト 単 位 で 比較 する 命令 で ある PCMPEQB 用 
の マク ロ で す 。 


また 、 あ る バイ ト が 他 の レジ スタ の バイ ト と 等 し い 場 合 は 、 結 果 の この 時 点 で Oxff に な 
り 、 そ れ 以 外 の 場合 は 0 に な り ま す 。 


例え ば : 


XMM1: 0x11223344556677880000000000000000 
XMMO: 0x11ab3444007877881111111111111111 


pcmpeqb xmml, xmm0 の 実行 後 、XMM1I レジ スタ ー に は 以下 が 含ま れ ま す 。 
XMM1: 0xff0000ff0000ffff0000000000000000 


この 例 で は 、 こ の 命令 は 各 16 バ イト ブロ ッ ク を 16 個 の ゼロ バイ ト の ブロ ッ ク と 比較 し ま 
す 。 これ は 、pxor xmm0, xmm0 に よっ て XMM0 レジ スタ に 設定 され て いま す 。 


次 の マク ロ は mm movemask epi8() で す 。 これ は PMOVMSKB 命令 で す 。 
PCMPEQB と 一 緒 に 使う と と て も 便利 で す 。 
pmovmskb eax, xmm1 


この 命令 は 、XMM1 の 最初 の バイ ト の 最上 位 ビ ッ ト が 1 の 場合 、 最 初 の EAX ビ ッ ト を 1 に 設 
TUE. DEU, XMI レジ スタ の 最初 の バイ ト が Oxff の 場合 、EAX の 最初 の ビッ ト 


П 
, 
, 
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も 1 に な り ま す 。 


XMM1 レジ スタ の 2 番目 の バイ ト が Oxff の 場合 、EAX の 2 番目 の ビッ ト は 1 に 設定 され ま 
す 。 言い換え れ ば 、 命 令 は 「XMM1 の どの バイ ト に 最上 位 ビ ッ ト (MBS) が 設定 され て いる 
か 、0x7f よ り 大 きい か 」 と いう 質問 に 答え ます 。 そ し て 、EAX レジ スタ に 16 ビ ッ ト を 返し 
ます 。EAX レジ スタ の 他 の ビッ ト は クリ ア さ れ ま す 。 


と ころ で 、 私 た ちの アル ゴリ ズム の この 風変わり な こと を 忘れ な いで くだ さい 。 入 力 に 
は 16 バ イト あり ます 。 

15 14 13 12 11 10 9 3 2 1 0 
'h''e | оо ガー ベッ ジ Ше 


これ は 、 'hello' 文字 列 で 、 ゼ ロ で 終わ り 、 メ モリ 内 の ラン ダム ノイ ズ で す 。 


これ ら の 16 バ イト を XMM1 に ロー ド し て ゼロ 化 さ れ た XMMO と 比較 する と 、 次 の よう に 
な り ま す 。 1% 


XMM1: 0x0000ff00000000000000ff0000000000 


これ は 、 命 令 が 2 つの ゼロ バイ ト を 見 つけ た こと を 意味 し て いま す が 、 それ は 驚く こと で 
は あり ませ ん 。 


この 場合 の PMOVMSKB は EAX を 0b0010000000100000 に 設定 し ます 。 
明らか に 、 私 た ちの 関数 は 最初 の 0 ビッ ト だ け を 取り 、 残 り を 無視 し な けれ ば な り ま せん 。 
次 の 命令 は BSF (Bit Scan Forward) で す 。 


この 命令 は 、1 に 設定 され た 最初 の ビッ ト を 見 つけ 、 そ の 位置 を 最初 の オペ ラン ド に 格納 
し ます 。 


EAX=0b0010000000100000 


bsf eax, eax の 実行 後 、EAX は 5 を 含み 、 こ れ は 1 が 5 番目 の ビッ ト 位 置 (ゼロ か ら 始 ま 
る ) に 見 つか っ た こと を 意味 し ます 。 


MSVC に は 、 こ の 命令 用 の マク ロ BitScanForward が あり ます 。 

今 は 簡単 で す 。 ゼ ロバ イト が 見 つか っ た 場合 は 、 そ の 位置 が すでに 数 えた も の に 追加 され 、 
今度 は 結果 が 返さ れ ま す 。 

Almost all. ほとん ど 全 て 。 

poU MSVC コ ン パ イラ は は 最適 化 の た め に 2 つの ルー プ 本 体 を 一 緒 に 発行 し て いま し 


ちな み に 、SSE 4.2 (Intel Core i7 に 登場 ) は 、 こ れ ら の 文字 列 操作 が さら に 簡単 に な る 可 
能 性 が ある 場合 に 、 よ り 多 く の 命 令 を 提供 し ます : http://www.strchr.com/strcmp_ 
and strlen using sse 4.2 


169 こ こ で は 、MSB か ら LSB+70 へ の 順序 が 使用 され て いま す 。 
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第 1.28 節 64 ビ ッ ト 

第 1.28.1 節 x86-64 

これ は x86 ア ー キ テク チャ の 64 ビ ッ ト 拡 張 で す 。 

リバ ー ス エン ジニ ア の 観点 か ら す る と 、 最 も 重要 な 変更 は 次 の と お り で す 。 


・ ほとん どす べ て の レジ スタ (FPU と SIMD を 除く ) は 64 ビ ッ ト に 拡張 され 、R プ レフ ィ 
ックス が 付け られ まし た 。8 つ の 追加 レジ スタ が 追加 され まし た 。GPR は ВАХ, RBX, 
RCX, RDX, RBP, RSP, RSI, RDI, R8, R9, R10, R11, R12, R13, R14, R15 GT. 


従来 通り に 古い レジ スタ 部 分 に アク セス する こと は まだ 可能 で す 。 例 えば 、EAX を 使 
用 し て RAX レジ スタ の 下位 32 ビ ッ ト 部 分 に アク セス する こと は 可能 で す 。 


バイ ト の 並び 順 
第 7 | 第 6 | 第 5 | 第 4 | 第 3 | 第 2 | 第 1 | 第 0 
RAXX64 
EAX 
AX 
AH | AL 


新しい R8-R15 レジ スタ の 下位 部 分 も 、R8D-R15D (下位 32 ビ ッ ト 部 分 )、R8W-R15W 
(下位 16 ビ ッ ト 部 分 )、R8L-R15L (下位 8 ビッ ト 部 分 ) で す 。 

バイ ト の 並び 順 
第 7 | 第 6 | 第 5 | 第 4 | 第 3 | 第 2 | 第 1 | 第 0 
R8 


R8D 


R8W 
R8L 


SIMD レ ジス タ の 数 は 8 か ら 16 に 倍増 し まし た : XMM0-XMM15 


Win64 で は 、 関 数 呼び 出し 規約 は 多少 異な り 、 や や fastcall に 似 て いま す (?? on 
page ??), 最初 の 4 つの 引数 は RCX, RDX, R8, В レジ スタ に 格納 され 、 残 り は ス 
タッ ク に 格納 され ます 。 ま た 、caller 関 数 は 32 バ イト を 割り 当て な けれ ば な ら な い の 
で 、callee は そこ に 4 つの 最初 の 引数 を 保存 し 、 そ れ 自 体 の 必要 性 の た め に これ ら の 
レジ スタ を 使用 する こと が で きま す 。 短い 関数 は 単に レジ スタ か ら の 引数 を 使用 する 
か も し れ ま せん が 、 大 きい も の は それ ら の 値 を スタ ッ ク に 保存 する か も し れ ま せん 。 


System V AMD64 ABI (Linux. *BSD. Mac OS X ) [Michael Matz, Jan Hubicka, 
Andreas Jaeger, Mark Mitchell, System V Application Binary Interface. AMD64 
Architecture Processor Supplement, (2013)] !1 は fastcall に も 似 て いま す が 、 最 
初 の 6 つの 引数 に 6 つの レジ スタ RDI 、RSI 、RDX 、RCX 、R8 、R9 を 使用 し ます 。 残 
り は すべ て スタ ッ ク を 介し て 渡さ れ ま す 。 
呼び 出し 規約 (?? on page ??) に 関す る セク ショ ン も 参照 し て くだ さい 。 

・ 互換 性 の た め 、 C/C++ の int 型 は 32 ビ ッ ト の まま で す 。 

・ ポイ ンタ は すべ て 64 ビ ッ ト で す 。 


1 以下 で 利用 可能 https://software.intel.com/sites/default/files/article/402129/ 
mpx- Linux64 - abi. pdf 
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現在 、 レ ジス タ の 数 が 2 倍 に な っ た た め 、 コ ン パ イラ は register allocation と 呼ば れる 操作 
の た め の ス ペー ス を より 多く 持っ て いま す 。 私 た ち に と っ て これ は 、 発 行 さ れ た コー ド が 
より 少な い 数 の ロー カル 変数 を 含ん で いる こと を 意味 し ます 。 
た と えば 、DES 暗 号 化 ア ル ゴ リ ズム の 最初 の ら ボ ックス を 計算 する 関数 は 、 ビ ッ ト ス ライ ス 
の DES メ ソ ッ ド を 使用 し て (DES type 型 (uint32、uint64、 SSE2、 ま た は AVX に 応じ て )) 
32/64/128/256 の 値 を 一 度 に 処理 し ます 。( こ の テク ニッ ク の 詳細 は ここ に あり ます (1.27 
on page 494))。 


Generated S-box files. 


This software may be modified, redistributed, and used for any purpose, 
so long as its origin is acknowledged. 


Produced by Matthew Kwan - March 1998 


#ifdef WIN64 

#define DES type unsigned _ int64 
#else 

#define DES type unsigned int 
#endif 


void 

sl ( 
DES type al, 
DES type a2, 
DES type a3, 
DES type a4, 
DES type a5, 
DES type аб, 
DES_type *outl, 
DES_type *out2, 
DES_type *out3, 
DES_type *out4 


DES_type х1, x2, x3, x4, x5, хб, x7, x8; 

DES type x9, x10, x11, x12, x13, x14, x15, x16; 
DES type x17, x18, x19, x20, x21, x22, x23, x24; 
DES type X25, x26, x27, x28, x29, x30, x31, x32; 
DES type x33, x34, x35, x36, x37, x38, x39, x40; 
DES type X41, x42, x43, x44, x45, x46, x47, x48; 
DES type x49, x50, x51, x52, x53, x54, x55, x56; 


х1 = аз & -a5; 
х2 = x1 ^ a4; 
x3 = a3 & -a4; 
х4 = x3 | а5; 
х5 = a6 & х4; 
x6 = x2 ^ x5; 
x7 = a4 & ~a5; 
x8 = аз ^ a4; 
x9 = a6 & -x8; 
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x 
o 
= 
rt 
N 


x23 


x 
° 
= 
rt 
= 


x x x X X x >x 
Q G GQ G + + + 
бу Ко r2 © о NU 


х54 
х55 
х56 


x12 ^ -x21; 
mer が ジジ: 

х1 | х5; 
х23 ^ хё; 
x18 & ~x2; 
a2 & -x25; 
x24 ^ x26; 
x6 | x7; 
x28 ^ x25; 
x9 ^ x24; 
x18 & -x30; 
a2 & x31; 
x29 ^ x32; 
al & x33; 
x27 ^ x34; 
“= X35; 

a3 & x28; 
x18 & -x36; 
a2 | x3; 


a3 | x31; 
x24 & ~x37; 
x41 | x3; 
x42 & ~a2; 
x40 ^ x43; 
al & -x44; 
x39 ^ -x45; 
^= x46; 

x33 & -x9; 
x47 ^ x39; 
x4 ^ x36; 
x49 & ~x5; 
x42 | x18; 
x51^ a5; 
a2 & -x52; 
x50 ^ x53; 
al | x54; 
x48 ^ ~x55; 


*out3 “= x56; 
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ロー カル 変数 が た くさ ん あり ます 。 も ちろ ん 、 す べ て が ロー カル スタ ッ ク に 入る わけ で は 


あり ませ ん 。/0x オプ ショ ン を 付け て MSVC 2008 で コン パイ ル し て み ま し ょ う 。 
Listing 1.388: 最適 化 MSVC 2008 


PUBLIC _51 
; Function compile flags: /Ogtpy 
_ TEXT SEGMENT 
_x6$ = -20 ; 
_x3$ = -16 ; 
_x1$ = -12 > 
_x8$ = -8 ; 
х4$ = -4 P 
_al$ = 8 ; 
a2$ = 12 i 
_а3$ = 16 : 
x33$ - 20 ; 
x7$ = 20 > 
_а4$ = 20 ; 
_а5$ = 24 A 
tv326 = 28 ; 
_х36$ = 28 ; 
x28$ = 28 ; 
_а6$ = 28 ; 
_Out1$ = 32 ; 
_x24$ = 36 ; 
_out2$ = 36 ; 
out3$ = 40 ; 
_out4$ = 44 Р 
51 PROC 
sub esp, 20 
mov edx, DWORD 
push ebx 
mov ebx, DWORD 
push ebp 
push esi 
mov esi, DWORD 
push edi 
mov edi, ebx 
not edi 
mov ebp, edi 
and edi, DWORD 
mov ecx, edx 
not ecx 
and ebp, esi 
mov eax, ecx 
and eax, esi 
and ecx, ebx 
mov 
xor eax, ebx 
mov esi, ebp 
or esi, edx 
mov 
and 


size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 


Hon go og H H PH oH oH JUD MOH. og Hg H H H Ho gp dg I 
+ 906 P > + > > P; + + + > — + + + + + —— + + 


PTR _a5$[esp+16] 


РТА _a4$[esp+20] 


PTR _a3$[esp+28] 


PTR _a5$[esp+32] 


DWORD PTR _x1$[esp+36], eax 


DWORD PTR Xx4$[esp+36], esi 
esi, DWORD PTR _a6$[esp+32] 


, 


; 00000014H 
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mov 
mov 
xor 
mov 
mov 
xor 
mov 
xor 
mov 
and 
mov 
mov 
xor 
or 

not 
and 
xor 
mov 
or 

mov 
mov 
xor 
and 
mov 
xor 
not 
or 

xor 
mov 
mov 
xor 
not 
xor 
and 
mov 
mov 
or 

mov 
or 

mov 
xor 
mov 
xor 
not 
and 
mov 
and 
xor 
xor 
not 
mov 
and 
and 


DWORD РТА _x7$[esp+32], есх 
edx, esi 

edx, eax 

DWORD PTR _x6$[esp+36], edx 
edx, DWORD PTR _a3$[esp+32] 
edx, ebx 

ebx, esi 

ebx, DWORD PTR _a5$[esp+32] 
DWORD PTR _x8$[esp+36], edx 
ebx, edx 

ecx, edx 

edx, ebx 

edx, ebp 

edx, DWORD PTR _a6$[esp+32] 
ecx 

ecx, DWORD PTR _a6$[esp+32] 
edx, edi 

edi, edx 

edi, DWORD PTR _a2$[esp+32] 
DWORD PTR _x3$[esp+36], ebp 
ebp, DWORD PTR _a2$[esp+32] 
edi, ebx 

edi, DWORD PTR _al$[esp+32] 
ebx, ecx 

ebx, DWORD PTR _x7$[esp+32] 
edi 

ebx, ebp 

edi, ebx 

ebx, edi 

edi, DWORD PTR _out2$[esp+32] 
ebx, DWORD PTR [edi] 

eax 

ebx, DWORD PTR _x6$[esp+36] 
eax, edx 

DWORD PTR [edi], ebx 

ebx, DWORD PTR _x7$[esp+32] 
ebx, DWORD PTR _x6$[esp+36] 
edi, esi 

edi, DWORD PTR _x1$[esp+36] 
DWORD PTR _x28$[esp+32], ebx 
edi, DWORD РТА _x8$[esp+36] 
DWORD РТА _x24$[esp+32], edi 
edi, ecx 

edi 

edi, edx 

ebx, edi 

ebx, ebp 

ebx, DWORD PTR _x28$[esp+32] 
ebx, eax 

eax 

DWORD PTR _x33$[esp+32], ebx 
ebx, DWORD PTR _al$[esp+32] 
eax, ebp 
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xor 
mov 
xor 
xor 
mov 
mov 
and 
mov 
or 
mov 
not 
and 
or 
xor 
not 
and 
not 
or 
not 
and 
or 
xor 
mov 
xor 
xor 
mov 
not 
and 
not 
and 
and 
xor 
or 
not 
xor 
not 
and 
xor 
not 
mov 
xor 
mov 
xor 
pop 
pop 
xor 
pop 
mov 
pop 
add 
ret 
_sl 


eax, ebx 

ebx, DWORD PTR _out4$[esp+32] 
eax, DWORD PTR [ebx] 

eax, DWORD PTR _x24$[esp+32] 
DWORD PTR [ebx], eax 

eax, DWORD PTR _x28$[esp+32] 
eax, DWORD PTR _a3$[esp+32] 
ebx, DWORD PTR _x3$[esp+36] 
edi, DWORD PTR _a3$[esp+32] 
DWORD PTR _x36$[esp+32], eax 
eax 

eax, edx 

ebx, ebp 

ebx, eax 

eax 

eax, DWORD PTR _x24$[esp+32] 
ebp 

eax, DWORD PTR _x3$[esp+36] 
esi 

ebp, eax 

eax, edx 

eax, DWORD PTR _a5$[esp+32] 
edx, DWORD PTR _x36$[esp+32] 
edx, DWORD PTR _x4$[esp+36] 
ebp, edi 

edi, DWORD PTR _outl$[esp+32] 
eax 

eax, DWORD PTR _a2$[esp+32] 
ebp 

ebp, DWORD PTR _al$[esp+32] 
edx, esi 

eax, edx 

eax, DWORD PTR _al$[esp+32] 
ebp 

ebp, DWORD PTR [edi] 

ecx 

ecx, DWORD PTR _x33$[esp+32] 
ebp, ebx 

eax 

DWORD PTR [edi], ebp 

eax, ecx 

ecx, DWORD PTR _out3$[esp+32] 
eax, DWORD PTR [ecx] 

edi 

esi 

eax, ebx 

ebp 

DWORD PTR [ecx], eax 

ebx 

esp, 20 

0 
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5 つの 変数 が コン パイ ラ に よっ て ロー カル スタ ッ ク に 割り 当て られ まし た 。 
それ で は 、64 ビ ッ ト 版 の MSVC 2008 で も 同じ こと を 試し て み ま し ょ う 。 


Listing 1.389: 最適 化 MSVC 2008 


a1$ 
a2$ 


x36$1$ = 88 


104 
112 
120 
128 
51 PROC 


mov QWORD PTR [rsp+24], rbx 
mov QWORD PTR [rsp+32], rbp 
mov QWORD PTR [г5р+16], rdx 
mov QWORD PTR [rsp+8], rcx 


push rsi 

push rdi 

push r12 

push r13 

push r14 

push r15 

mov r15, QWORD РТА a5$[rsp] 
mov rcx, QWORD PTR a6$[rsp] 
mov rbp, r8 

mov r10, r9 

mov rax, r15 

mov rdx, rbp 

not rax 

xor rdx, r9 

not r10 

mov rll, rax 

and rax, r9 

mov rsi, r10 

mov QWORD PTR x36$1$[rsp], rax 
and r11, r8 

and rsi, r8 

and r10, r15 

mov r13, rdx 

mov rbx, r11 

xor rbx, r9 

mov r9, QWORD PTR a2$[rsp] 
mov r12, rsi 

or r12, r15 

not r13 

and r13, rcx 

mov r14, r12 

and r14, rcx 
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mov 
mov 
xor 
xor 
not 
and 
mov 
xor 
or 

xor 
and 
mov 
or 

xor 
mov 
xor 
and 
or 

not 
xor 
mov 
xor 
xor 
mov 
mov 
mov 
or 

or 

mov 
xor 
mov 
mov 
mov 
xor 
not 
and 
mov 
and 
xor 
xor 
not 
and 
mov 
and 
xor 
mov 
xor 
xor 
mov 
mov 
and 
mov 
not 


rax, г14 
r8, r14 

r8, rbx 

rax, г15 
rbx 

rax, rdx 
rdi, rax 
rdi, rsi 
rdi, rcx 
rdi, r10 
rbx, rdi 
rcx, rdi 
rcx, r9 

rcx, rax 
rax, r13 


rax, QWORD PTR x36$1$[rsp] 
rcx, QWORD РТА al$[rsp] 
rax, r9 

rcx 

rcx, rax 

rax, QWORD PTR out2$[rsp] 
rcx, QWORD PTR [rax] 

rcx, r8 

QWORD PTR [rax], rcx 

rax, QWORD PTR x36$1$[rsp] 
rcx, r14 


rax, r8 
rcx, rll 
г11, r9 
rcx, rdx 


QWORD PTR x36$1$[rsp], rax 
r8, rsi 


rdx, rcx 
rdx, r13 
rdx 

rdx, rdi 
r10, rdx 
r10, r9 
r10, rax 
r10, rbx 
rbx 

rbx, r9 
rax, r10 


rax, QWORD РТА al$[rsp] 
rbx, rax 

rax, QWORD PTR out4$[rsp] 
rbx, QWORD PTR [rax] 

rbx, rcx 

QWORD PTR [rax], rbx 

rbx, QWORD PTR x36$1$[rsp] 


rbx, rbp 
r9, rbx 
r9 
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and 
or 

mov 
xor 
not 
and 
or 

mov 
or 

xor 
mov 
not 
not 
not 
and 
or 

and 
xor 
xor 
mov 
not 
not 
and 
and 
and 
xor 
mov 
not 
xor 
or 

not 
xor 
mov 
mov 
xor 
xor 
xor 
mov 
pop 
pop 
pop 
pop 
pop 
pop 
ret 
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r9, 
r8, 


rdi 
r11 


rax, QWORD PTR outl$[rsp] 


r8, 
r9 
r9, 
rdx, 


r9 


rcx 
rbp 


rbp, QWORD PTR [rsp+80] 


r9, 
rbx, 
rcx, 
rcx 
r14 
r13 
rcx, 
r9, 
rbx, 
r9, 
rcx, 


rsi 
r12 
r11 


r9 
rdi 

r14 
r15 

rdx 


rdx, QWORD PTR al$[rsp] 


r9 
rcx 
r13, 
r9, 
rcx, 
r9, 


r10 
r11 

rdx 
rbx 


rbx, QWORD PTR [rsp+72] 


rcx 


rcx, QWORD PTR [rax] 


r9, 
r9 
rcx, 


QWORD PTR [rax], 


rdx 


r8 


rcx 


rax, QWORD PTR out3$[rsp] 


r9, 


r13 


r9, QWORD PTR [rax] 


r9, 


QWORD PTR [rax], 


r15 
r14 
r13 
r12 


r8 


r9 


ロー カル スタ ッ ク に コン パイ ラ に よっ て 割り 当て られ た も の は 何 も あ り ま せん 。x36 は 
a5 と 同義 で す 。 


と ころ で 、 も っ と 多く の GPR を 持つ CPU が あり ます 。 例 えば 、Itanium (128 レ ジス タ ) で 


す 。 
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第 1.28.2 節 ARM 
64 ビ ッ ト 命 令 は ARMv8 で 登場 し まし た 。 


第 1.28.3 節 Float point numbers 
x86-64 で 浮動 小数 点数 が どの よう に 処理 され る か は 以下 で 説明 され ます : 1.29 


第 1.28.4 節 64-bit architecture criticism 


x64 CPU は 48 ビ ッ ト の 外部 RAM し か アド レス 指定 で き な い と いう 事実 に も か か わら ず 、 キ 
ャ ッシュ メモ リ を 含め 、 ポ イン タ を 格納 する た め に 2 倍 の メモ リ が 必要 に な る こと に 、 い 
ら 立 つ 人 が いま す 。 


ここ に ある 私 の 64 ビ ッ ト コ ンピュータ で は 、 私 が 自分 の マシ ン の 能力 を 
最大 限 使用 する こと を 気 に に て いる の で あれ ば 、 ポ イン タ を 使わ な い 方 が 
いい と 思い ます 。 私 は 64 ビ ッ ト の レジ スタ を 持つ マシ ン を 持っ て いま す が 、 
RAM は 2 ギガ バイ ト し か あり ませ ん 。 そ の た め 、 ポ イン タ は 32 を 超え る 有効 
ビッ ト を 持ち ませ ん 。 し か し 、 ポ イン タ を 使用 する た びに 64 ビ ッ ト の コス 
ト が か か り 、 デ ー タ 構造 の サイ ズ が 2 倍 に な り ま す 。 さ ら に 悪い こと に 、 ポ 
イン タ は キャ ッシュ に 入り 、 私 の キャ ッシュ の 半分 が な く な り 、 キ ャ ッ シ 
ュ を キャ ッシュ する コス ト は 高く つき ます 。 

だ か ら 本 当 に エン ベロ ー プ を 押し 込 も うと する な ら 、 私 は ポイ ンタ の 代 
わり に 配列 を 使わ な けれ ば な り ま せん 。 ポ イン タ を 使用 し て いる よう に 見 
える よう に 複雑 な マク ロ を 作成 し ます が 、 実 際 は 使っ て は いま せん 。 


( Donald Knuth in “Coders at Work: Reflections on the Craft of Programming ”. ) 


自分 自身 の メモ リア ロケ ー タ を 作る 人 も いま す 。CryptoMiniSat+7* の ケー ス に つい て 知っ 
て お く と 面白 いで す 。 こ の プロ グラ ム は めった に 4GiB を 超え る RAM を 使用 し ませ ん が 、 ポ 
イン タ を 頻繁 に 使用 し ます 。 そ の た め 、32 ビ ッ ト ア ー キ テク チャ で は 64 ビ ッ ト ア ー キ テク 
チャ より も メモ リ が 少な く て 済み ます 。 この 問題 を 軽減 する た め に 、 著 者 は 独自 の アロ ケ 
ー タ (clauseallocator.(h|cpp) ファ イル に ) を 作成 し まし た 。 こ れ に より 、64 ビ ッ ト ポ イ 
ンタ の 代わ り に 32 ビ ッ ト 識 別 子 を 使用 し て 割り 当て られ た メモ リ に アク セス で きま す 。 


第 1.29 節 SIMD を 使用 し た 浮動 小数 点数 の 取り 扱い 


も ちろ ん 、SIMD 拡 張 機 能 が 追加 され た と き 、FPU は x86 互 換 プ ロ セ ッ サ に 残っ て いま し た 。 
SIMD 拡 張 (SSE2) は 、 浮 動 小数 点数 を 扱う た め の よ り 簡 単 な 方 法 を 提供 し ます 。 
数 値 の フォ ー マ ッ ト は 変わ り ま せん (IEEE 754)。 


その た め 、 現 代 の コン パイ ラ (x86-64 用 に 生成 され た も の も 含む ) は 通常 、FPU の 代わ り 
に SIMD 命 令 を 使用 し ます 。 


彼ら と 一 緒 に 動作 する 方 が 簡単 な の で 、 そ れ は 良い ニュ ー ス だ と 言え ます 。 
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ここ で は FPU セ クシ ョ ン の 例 を 再 利用 し ます : 1.19 on page 268 


第 1.29.1 節 単純 な 例 


#include <stdio.h> 


double f (double a, double b) 


{ 
return а/3.14 + b*4.1; 
}; 
int main() 
{ 
printf ("%f\n", f(1.2, 3.4)); 
}; 
x64 


Listing 1.390: 最適 化 MSVC 2012 x64 


_ reale4010666666666666 DQ 04010666666666666r ; 4.1 


__real@40091eb851eb851f DQ 040091eb851eb851fr ; 3.14 
a$ = 8 

b$ = 16 

f PROC 


divsd xmm0, QWORD PTR  realQ40091eb851eb851f 
mulsd xmm1, QWORD PTR __real@4010666666666666 
addsd xmmO, хтт1 
ret 0 

f ENDP 


入力 浮動 小数 点 値 は XMM0-XMM3 レジ スタ に 渡さ れ 、 残 り は すべ て スタ ッ ク を 介し て 渡さ 
pug, IR, 


a は XMMO に 渡さ れ 、5 は XMM1 を 介し て 渡さ れ ま す 。 


XMM レ ジス タ は 128 ビ ッ ト で す (SIMD に 関す る セク ショ ン か ら わ か る よう に : 1.27 on 
page 493), し か し double 値 は 64 ビ ッ ト で す の で 、 下 位 半 分 の レジ スタ だ けが 使用 され 
ます 。 


DIVSD は 「Divide Scalar Double-Precision Floating-Point Values」 を 表す SSE 命 令 で す 。 
これ は 、 オ ペラ ンド の 下 半 分 に 格納 され た double 型 の 値 を 別 の 値 で 除算 する だ け で す 。 


定数 は 、 コ ン パ イラ に よっ て IEEE 754 形 式 で エン コー ド さ れ て いま す 。 
MULSD と ADDSD は まっ た く 同 じ よ うに 機能 し ます が 、 乗 算 と 加算 を 行い ます 。 
関数 が double 型 で 実行 され た 結果 は 、XMMO レジ スタ に 残り ます 。 


これ が 、 最適 化 さ れ て いな い MSVC の 仕組 み で す 。 
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Listing 1.391: MSVC 2012 x64 


_ real@4010666666666666 DQ 04010666666666666r ; 4.1 


_ real@40091eb851eb851f DQ 040091eb851eb851fr ; 3.14 
a$ = 8 

b$ = 16 

f PROC 


movsdx QWORD PTR [rsp+16], хтт1 
movsdx QWORD PTR [rsp+8], xmmO 
movsdx xmm0, QWORD PTR a$[rsp] 
divsd xmm0, QWORD PTR  realQ40091eb851eb851f 
movsdx xmml, QWORD PTR b$[rsp] 
mulsd xmm1, QWORD PTR __real@4010666666666666 
addsd xmmO, xmm1 
ret 0 
f ENDP 


少し 冗長 で す 。 入 力 引 数 は 「 シ ャ ドー スペ ー ス 」(1.10.2 on page 126) に 保存 され ます 
が 、 そ れ ら の 下位 レジ スタ の み が 半 分 に な り ま す 。 つ まり 、goup/e 型 の 64 ビ ッ ト 値 だ け 
で す 。 GCC は 同 じ コ ー ド を 生成 し ます 。 

x86 


この 例 も x86 用 に コン パイ ル し まし ょ う 。 >x86 用 に 生成 され て いる と いう 事実 に も か か わ 
ら ず 、MSVC 2012 は SSE2 命 令 を 使用 し ます 。 


Listing 1.392: 非 最適 化 MSVC 2012 x86 


tv70 = -8 ; size = 8 
_а$ = 8 ; size = 8 
_b$ = 16 ; size = 8 
f PROC 
push ebp 
mov ebp, esp 
sub esp, 8 


movsd xmm0, QWORD PTR _a$[ebp] 

divsd xmm0, QWORD PTR _ real@40091eb851eb851f 
movsd хтт1, QWORD PTR _b$[ebp] 

mulsd xmm1, QWORD PTR __real@4010666666666666 
addsd xmmO, xmm1 

movsd QWORD PTR tv70[ebp] , xmmO 


fld QWORD PTR tv70[ebp] 
mov esp, ebp 
pop ebp 
ret 0 
f ENDP 


Listing 1.393: 最適 化 MSVC 2012 x86 


tv67 = 8 ; size = 8 
_а$ = 8 : size = 8 
b$ = 16 ; size = 8 
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movsd 
divsd 
movsd 
mulsd 
addsd 
movsd 
fld 
ret 

f ENDP 


xmml, 
xmml, 
xmm0, 
xmm0, 
xmm1, 
QWORD 
QWORD 
0 


QWORD PTR _a$[esp-4] 

QWORD РТА _ real@40091eb851eb851f 
QWORD PTR b$[esp-4] 

QWORD PTR __real@4010666666666666 
xmmO 

PTR tv67[esp-4], xmml 

PTR tv67[esp-4] 


これ は ほぼ 同じ コー ド で す が 、 呼 び 出し 規約 に 関し て いく つか の 違い が あり ます 。1) 5 
数 は XMM レ ジス タ で は な く ス タッ ク に 渡さ れ ま す (FPU の 例 (1.19 on page 268) の よ 
うに )。2) 関数 の 結果 が ST(0) に 返さ れ ま す 。 そ の た め に は 、XMM レ ジス タ の 1 つか ら 
ST(0) に (ロー カル 変数 tv を 介し て ) コピ ー し ます 。 
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最適 化 さ れ た 例 を OllyDbg で 試し て み ま し ょ う 


CPU - main thread, module simple 


mm USD XMM1, QUORD PTR S E ü 3 34 egisters (FPU 
ED юе 1496 3 : — 
NOUSD SMM DWORD PTR 5 oC) EAX FAES MSUCR118. _initenu 
HULSD Shia, QUORD PTR DS: L12320003 FLOAT 4.1906 O06660 

F32gF58CB | ADDSD XMM1, ХММЯ х аддавай 
F2gF114C24 01 MOUSD QUORD PTR SS: ГЕ5Р+41, XMM1 991ZFBCg 
DD4424 94 FLD GWORD PTR SS:[ESP+41 "9917FC19g 


0800000091 
8000000900 


01331006 simple.01331006 


< t BLFFFFFFFF) 
F2gF1gg5 ca2t nouen : 9。QMORD PTR DS: С13320С81 FLOAT 3.4000 |5 23 @(ЕЕЕЕЕЕЕЕ) 
S3EC 16 SUB E: 3 3 g(FFFFFFFF} 
BE114424 0: HOUSB ОННО PTR SS; CESP+8], XHNG D ED адада н 
Foor loge Baci HOUSD xH, OUDRD PTR DS: [1232068] FLOAT 1.20001 Š EE 
F2gF119424 | HOUSD QuORD P PTR SS:LESPJ, XMMG 


EB RDFFFFFF |CALL Gi “< EZ phobia А - 
Bosces o9 |FSTP QUORD PTR SS:CESP+8] LastErr 00000000 EHROR-SUCCESS 
00000202 (NO,NB,NE, А, NS, PO, GE, G) 


ADD ESP,8 

PUSH OFFSET 01333000 ASCII "zfm” empty 
CALL DWORD PTR DS:C<&MSUCR116. printf >] empty 
ADD ESP, ac empty 
XOR EAX, EAX ST3 empty 
RETN empty 
empty 
empty 
empty 


gggg 


MOU EAX, SA4D 27F 
Bag СМР WORD PTR DS: [<STRUCT IMAGE_DOS_HEAD poe eee 
E SHORT 01321082 R 


хима 1. 2 ロロ 


1. 2808000000090000 
a. 
0.0 
0.0 


UMP SHORT 01331086 

MOU ECX, DWORD PTR DS: [13233003C] 
CHP DWORD PTR DS: CECK+<STRUCT IMAGE DOS) 
HOU ER SHORT о ME 


«УЕР ДЕБЕСЕН 140000070000000 
ХММ1=0.0, 1.200000000000000 


Qoo 


00001Ғ80 FZ Ø DZ Ø Err 
Rnd NEAR Mask 


зг@ 
0917FBD4 RETURN from simple.01331030 to simple.813 
gg17FBDS 


Pointer to nest SEH record 
SE handler 


1.113: OllyDbg: M0VSD は a の 値 を XMM1 に ロー ド 


CPU - main thread, module simple 


12210001 F20F184C24 0: MOUSD XHMi,OWORD PTR S: Reg PU) 
1 31GGe|] + EF2@FSE@D сагі 01050 XHHl,QWORD PTR ; | FLOAT з.14аа РЕР —— — mn 
E F20F184424 BN MOUSD МПа, GMORD PTR 55: [ESP+GC] - ЕБОНТ=З.4ййй' に > BBchE3a 
1331814| | ・ F2gF59g5 рагі MULSD ХММӘ, WORD PTR DS:[13329D] FLOAT 4.1800 Ес, eee onan 
F20FSƏCƏ | А0050 XMM1, ХММа Н 
F20F114C24 8| MOUSD QUORD PTR SS: CESP+4], ХММІ 
004424 69  |FLD GMORDPTR SS:[ESP+41 


I 0009090001 
8080000090 


0133100E simple.0133100E 
0133102E 3 2: 
01323102F 32bit @(FFFFFFFF) 


EE 5 
0135310390 rs F2gF1995 caat noven уна, WORD PTR 08: С13329С81 FLOAT 3.4000 |5 БЕРГЕ BLCEEEEEEE 
oi331058||- 83EC 18 SUB ESP, : Sepir ӨСЕЕЕЕЕЕГЕЈ 
133183E|| ・ PS5F114424 9 FOUSD BOORD PTR SS: CESP+8], ХММ Ec e asada ee 
81331841| | ・ Feeriede Bae HOUSD SMB, QUORD PTR DS: C1S320B8] FLOAT 1.20001 BL ти. 14а 
912219421. Fa9F119424 | MOUSD QUORD PTR SS: ГЕ5Р1,ХММ@ = 
13318E3|| Büsted oo |FSTP QUORD PTR SSsLESP+8] stEpr 000002000 ERRUR.SULCESS 
01331057 ADD ESP, 8 2 МО, МВ, МЕ, А, NS, РО, GE, 5) 
133195H| | ・ 68 gagazza, | PUSH OFFSET 01333000 ASCII "fP" кай 
0123105F CALL DWORD PTR 05: L<&HSUCR110.printf>J empty 
81331065 ADD ESP, oc enpty 
912319681: ЗЗС@ XOR EAK, EAX NS empty 
81331069 RETN ent 
0133106B erotu 
91331960 3 р enne 
91331060 маны 
0133106E id 
m133196F| СС NT3 дроб 
81331078 MOU EAX, SA4D eae 
01231875 6:2905 @ййй: СМР WORD PTR DS:[«STRUCT IMAGE DOS_HEADI FON егте. 
9133187 En JE SHORT 01321082 9 

; 1.200000000000000 
81331088 SHE SHORT 01331086 
81331082 HOU ECX, DWORD PTR DS[133gg3C] f OER 
61331088 ВЭ CHP DWORD PTR DS: CECK+<STRUCT ІМАВЕ_ DOS) 
61331092|| `- 75 ER JNE SHORT 9133197E 

3319 HOU EAX, 106 


HE. ШОЕ 
Stack [0017FBCC1=3,400000000000000 
XMMO=0.0, 1.200000000000000 
00001FR0 FZ а 02 а Err 
Rnd NEAR Mask 


ロ а 3333: 3 (a 

01333040 gg17FBD4 RETURN from simple.g133193g to simple.013 
ai ü gg17FBHS 8 

1 5528 ロ 9617FBDC 
91333070 9017FBEO 
91333080 GO EPS 
01333090 0017?FBEC 
@@17ЕВЕй 
gg17FBF4 
gg17FBF8 
@617FBFC 
0017FC00 Pointer to nest SEH record 
0017FC04 SE handler 
aatercos 4 


1.114: OllyDbg: DIVSD 商 を 計算 し 、 結 果 を XMM1 に 保存 する 


CPU - main thread, module simple 


ai rs 20ғ104С24 BF HOUSD HIM, GUORD PIR SS: TESP+4] Reg PU) 
а ИП, QUORD PTR DS: 1332001 FLOAT з. 14992 58-9205 — MÀ 


R S 
ECX 0066D530 

2; QUORD PTR 19920001 。 FLOAT 4; 1000 Ч 

Шага ыш : EDX gggggggg 


LESP*41, ХММ1 
FLD QUORD PTR SS:LESP*41 
RETN 


I oagal 

999g9999 

0133101С simple. 80133101C 
= 32bit @(FFFFFFFF) 
F2eF1995 Сад nouen xno, ,QWORD PTR DSi[1382gC8] FLOAT 3.4000 |E Sete EE 
F2gF 114424 Ө} MOUSD ОШОВО PTR SS: CESP+s1, xMNo : Seit LEEEERETET 
F29F1995 Ba2I H0USD ХММ, OWORD PTR DS: [15520801 FLOAT 1.20001 Sebit DEEEPEPBLET 
Fa9F119424 | MOUSD WORD PTR SS: CESP3, ИНӘ А 
FSTP QUORD PTR 95: СЕЗР+81 EY ER Ud ENSE 


ADD ESP, 8 2 (МО, МВ, NE, R, NS, PO, GE, G) 
PUSH OFFSET 81333000 ASCII "иеш" empty 

CALL DWORD PTR DS』[ く SHSUCR119。pr intf>] мз 

ADD ESP, ac conte 

XOR EAX, EAX ТЗ empty 

g1331g6H RETN enoti 

01321068 тосу 

133196C 3 2 empty 

91331960 anot 

01233106E ý 

01323106F CC NT3 0000 

01321070 MOU EAX, 540 E 

81331075 6:3905 Ağa! СМР WORD PTR DS: [<STRUCT IMRGE. DOS. HERDI Lest Send 
0123107 a4 dE SHORT 91331082 ibi 


HE SHORT 913319B6 

01331082 MOU ECX,DWORD PTR DS:[133003C1 
91331988 B9 CHP DWORD PTR DS:LECX*«STRUCT IMRGE. DOS| 
91331992 75 ER HE EM" cecal 


gdgd 
656850955414 


QoS 


TS, 94000090990006 
8.3821656g59955414 


gggg1FHB FZ Ø DZ Ø Err 
Rnd NEAR Mask 


ロ а 3333: 3 @ 

01333040 gg17FBD4 RETURN from simple.g133193g to simple.013 
ai ü gg17FBHS 8 

1 5528 ロ 9617FBDC 
91333070 9017FBEO 
91333080 GO EPS 
01333090 0017?FBEC 
@@17ЕВЕй 
gg17FBF4 
gg17FBF8 
@617FBFC 
0017FC00 Pointer to nest SEH record 
0017FC04 SE handler 
gg17FCg8 4 


1.115: OllyDbg: MULSD calculated 積 を 計算 し 、XMM6 に 保存 する 


CPU - main thread, module simple 


01231000 Wi MOUSD XMM1,QWORD PTR SS: 【ESP+4] R (FPU) a 
91331006 E20FSEOD сад DIUSD WORD PTR 1332000 FLOAT 3.1480 SUCR1 10。 initenu 


MULSD УММЙ,ОШОЕП PTR FLOAT 4.1000 
mem nna 


9133100Е 


0017FC10 
99600081 
8000000900 


01331020 simple.01331020 


cc 32bit g(FFFFFFFF) 
91331030 F2eF1995 Сад} nous хте, ,GUORD PTR DS: [13320C81 FLOAT 3.4880 Sorte REEF 
133193B| | F20F114424 а: HOUSD QUORD PTR SS:[ESP+8], ha SEDIE Mats = 
81331841 FoF loge Baal HOUSD RING, QUORD PTR DS: 1582088] FLOAT 1.2880 E SEDLE FFPHB69CEE 
с у S re 
81331863 Bosted 98 |FSTP QUORD PTR SS:LESP461 LastErr 00000000 ERROR-SUCCESS 
81331067 й ADD ESP, 8 gggggzg2 (NO, NB, NE, A, NS, PO, ВЕ, 8) 
68 PUSH OFFSET 01333000 | ASCII "Х#Ш” жу 
CALL DWORD PTR 05: [<&MSUCR110.printf>] nory 
ADD ESP, ac € 
XOR EAX, AX nosy 
RETN empty 
empty 
empty 
empty 
0000 Cond à 8 Ó @ Err GƏ aT) 

MOU EAX, SA4D an i 

H G27F Prec NEHR,53 Nask 1 

000! СМР WORD PTR DS:[<STRUCT IMAGE DOS HERD " 

JE SHORT 81331982 вада: овааааво 
ХОВ EAX, EAX 
JMP SHORT 81331086 
MOU ECX, DWORD PTR DS: [C1330031 
CMP DUORD PTR DS: CECX+<STRUCT THAGE_DOS, 
УНЕ SHORT 9133107 


13. 9490000000000 
14. 32216560509554 


Sm 
Seo 


EA a, 14. 32216560509554 
Stack Lüb17FBC41-1.200000000000000 


P 
HRCSR 00001FR0 FZ Ø 02 Ø Err 1 
Rnd NEAR Mask 1 


[: 
JEJ ] ' ; @017ЕВСӘ 
01333010 。 ]@@17ЕВСС 
61333020 gg17FBDg @ 
91333030 ° i i 
01535038 0017FED4 RETURN from simple.01331030 to simple.013 
0017FBDS 8 
91333050 a 
9 gg17FBDC 
813330680 
З gg17FBEg 
91333070 
3 g917FBE4 
91333080 gg17FBEB 
91333090 
01333090 gg17FBEC 


Э @й17ЕВЕЙ 
HESS gg17FEF4 
91333gCg 
g917FBFS 
91383000 0017FEFC 
013330E0 : 
@@1ТЕС@@ Pointer to next SEH record 
01533078 0017FC04 SE ha 
81333100 1 andler 
РА a аа аа 2 222 а ааа 917FC98| 866834F3 


1.116: OllyDbg: ADDSD は 値 を XMM0 と XMM1 に 追加 する 


CPU - main thread, module simple 


F2gF 194C24 Øi MOUSD XMM1,QWORD PTR SS:[ESP+4] 
DIUSD XMM1,QWORD PTR DS:[13320C01 FLOAT 3.1488 
MOUSD XMMNG,QWORD PTR SS: CESP+8C) 

MULSD XMMØ, QWORD PTR DS:[13320D01 FLOAT 4.18868 
RDDSD ХММ1, xMNG 

MOUSD QWORD PTR SS: СЕ5Р+41, ХММ1 
ED RE PTR 55: [ESP+4] 


CR116.__initeny 


° 01331 


[ 


cc IN 

F2gF 1005 CB2lMDUSD XMMa,QWORD PTR DS: [13320C81 FLOAT 3.49001 

83EC 10 SUB ESP, 18 

F20F 114424 03 MOUSD QWORD PTR SS:[ESP+81,XHHƏ 2EEDDO98【FFF) 

Foor lage Baal HOUSD XMMA, GUORD PTR DS: 215520881 FLOAT 1.20001 3 

F2üF118424 | HOUS GMRD PTR SS:LESP2,XMMa I 
CALL 01331000 ER 

FSTP DUORD PTR SS: CESP+8] 

ADD ESP, 8 

PUSH OFFSET 91333000 | ASCII "Х#Ш” 

CALL DWORD PTR DS:[ く &HSUCR11g.pr intf>] 

ADD ESP, ac 

XOR EAX, EAX 

RETN 


3 2 1 
IN Я É a tG 
CHE HORD PTR DS: [<STRUCT IMAGE DOS HERD м 927F ppp PUT 
СЇР BORD FTR разе cmnd 9923:91331926 
ХОК EAX, EAX up "m 
UMP SHORT 81931086 n X 
MOU ECX,DWORD PTR 05: С123003С2 

CHP DWORD PTR DS:CECK+<STRUCT IMAGE_DOS, 
JNE SHORT 01233107E 

MOU EAX, 106 


lask 
simple.£ 


RETURN from simple.@1331938 to simple.813 


Pointer to next SEH re 
SE handler 


E] 1.117: OllyDbg: FLD は 関数 の 結果 を 5Т(0) に 残す 


OllyDbg は XMM レ ジス タ を double 型 の 数 の ペア と し て 示し て いま す が 、 使 用 され て いる 
の は その 低位 の 部 分 だ け で す 。 


SSE2 命 令 (接尾 辞 -SD) が 現在 実行 され て いる た め 、 明 ら か に 、OllyDbg は それ ら を その 
形式 で 表示 し ます 。 


し か し 、 も ちろ ん 、 レ ジス タフ ォ ー マ ッ ト を 切り 替え て 、 そ の 内 容 を 4 つの float 数 また は 
ちょ うど 16 バ イト と し て 表示 する こと は 可能 で す 。 
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第 1.29.2 節 引数 を 介し て 浮動 小数 点数 を 渡す 


#include <math.h> 
#include <stdio.h> 


int main () 


t 
printf ("32.01 ^ 1.54 = %lf\n", pow (32.01,1.54)); 


return 0; 


} 


それ ら は XMMO-XMM3 レジ スタ の 下位 半分 に 渡さ れ ま す 。 
Listing 1.394: 最適 化 MSVC 2012 x64 


$SG1354 DB '32.01 ^ 1.54 = %lf', бан, 00H 
. realL@40400147ae147ae1 DQ 040400147ae147aelr r 32.01 
. realQ3ff8a3d70a3d70a4 DQ 03ff8a3d70a3d70a4r ; 1.54 
main PROC 
sub rsp, 40 ; 00000028H 


movsdx хтт1, QWORD PTR _ real@3ff8a3d70a3d70a4 
movsdx xmm0, QWORD PTR _ real@40400147ae147ael 


call pow 
lea rcx, OFFSET FLAT: 561354 
movaps xmml, xmmO 
movd rdx, xmml 
call printf 
xor eax, eax 
add rsp, 40 ; 00000028H 
ret 0 
main ENDP 


Intel お よび AMD の マニ ュ ア ル に は MOVSDX 命令 が な く (8.1.4 on page 564)、 単 に MOVSD 
と 呼ば れ て いま す 。 そ の た め 、x86 で は 同じ 名 前 を 共有 する 2 つの 命令 が あり ます ( 他 の も 
の に つい て は ?? on page ?? を 参照 。 ど う や ら 、Microsoft の 開発 者 た ち は こ の 混乱 を 取 
り 除 きた か っ た の で 、MOVSDX に 改名 し まし た 。XMM レ ジス タ の 下 半 分 に 値 を ロー ド す る 
だ け で す 。 


pow() は XMMO と XMM1 か ら 引 数 を 取り 、 結 果 を XMMO に 返し ます 。 COR printf() 
の た め に RDX に 移動 され ます 。 な ぜ で し ょ うか ? お そら く printf が 可変 引数 関数 だ か ら 
で し ょ う 。 


Listing 1.395: 最適 化 GCC 4.4.6 x64 


.LC2: 
.string "32.01 ^ 1.54 = %lf\n" 
main: 
sub rsp, 8 
movsd xmm1, QWORD PTR .LCO[rip] 
movsd xmm0, QWORD PTR .LC1[rip] 
call pow 
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; 結果 が XMMO に ある 
mov edi, OFFSET FLAT: .LC2 
mov eax, 1; ベク トル レジ スタ の 数 を 渡す 
call printf 
xor eax, eax 
add rsp, 8 
ret 
.LC0: 
.long 171798692 
. Long 1073259479 
.LC1: 


.long 2920577761 
. Long 1077936455 


GCC は より 明確 な 出力 を 生成 し ます 。 printf() の 値 は XMMO に 渡さ れ ま す 。 と ころ 
€. printf() の た め に EAX に 1 が 書か れ て いる 場合 は 、 標 準 で 要求 され て いる よう 
に [Michael Matz, Jan Hubicka, Andreas Jaeger, Mark Mitchell, System V Application 
Binary Interface. AMD64 Architecture Processor Supplement, (2013)] 1⁄4. 1 つの 引数 
が ベク トル レジ スタ に 渡さ れる こと を 意味 し ます 。 


第 1.29.3 節 Comparison example 


#include <stdio.h> 


double d max (double a, double b) 


{ 

if (a>b) 

return a; 

return b; 
}; 
int main() 
{ 

printf ("%fNn", d max (1.2, 3.4)); 

printf ("%Т\п", d max (5.6, -4)); 
}; 
x64 

Listing 1.396: 最適 化 MSVC 2012 x64 

a$ = 8 
b$ = 16 
d max PROC 

comisd  xmmO, xmm1 

ja SHORT $LN2@d_max 


movaps xmm0, хтт1 


174 以 F で 利用 可能 https://software.intel.com/sites/default/files/article/402129/ 
mpx- Linux64- abi. pdf 
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$LN2@d_max: 
fatret 0 
d max ENDP 


最適 化 MSVC は と て も 理解 し や すい コー ド を 生成 し ます 。 


COMISD は [Compare Scalar Ordered Double-Precision Floating-Point Values and Set 
EFLAGS」 で す 。 本 質 的 に 、 命 令 が 示す その も の の こと を し ます 。 


非 最適 化 MSVC は も っ と 冗長 な コー ド を 生成 し ます 。 し か し 、 こ れ も そ ん な に 理解 す 
る の が 難し く な いで す 。 


Listing 1.397: MSVC 2012 x64 


a$ = 8 
b$ = 16 
d max PROC 
movsdx QWORD PTR [rsp+16] , xmm1 
movsdx QWORD PTR [rsp+8] , xmmO 
movsdx xmm0, QWORD РТА a$[rsp] 
comisd xmm0, QWORD PTR b$[rsp] 
jbe SHORT $LN1@d_max 
movsdx xmm0, QWORD PTR a$[rsp] 
jmp SHORT $LN2@d max 
$LN1@d_max: 
movsdx xmm0, QWORD PTR b$[rsp] 
$LN2@d_max: 
fatret 0 
d max ENDP 


し か し な が ら 、GCC 4.4.6 は も っ と 最適 化し て MAXSD (Return Maximum Scalar Double- 
Precision Floating-Point Value」) 命令 を 使用 し ます 。 こ れ は 単に 最大 値 を 選択 し ます ! 


Listing 1.398: 最適 化 GCC 4.4.6 x64 


d max: 
maxsd xmmO, xmml 
ret 
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x86 
この 例 を MSVC 2012 の 最適 化 オ プシ ョ ン を ON に し て コン パイ ル し て み ま し ょ う 。 
Listing 1.399: 最適 化 MSVC 2012 x86 


_а$ = 8 ; size = 8 
_b$ = 16 ; size = 8 
_d max PROC 


movsd xmm0, QWORD PTR _a$[esp-4] 
comisd xmm0, QWORD РТА _b$[esp-4] 


jbe SHORT $LN1@d max 
fld QWORD PTR _a$[esp-4] 
ret 0 

$LN1@d_max: 
fld QWORD PTR _b$[esp-4] 
ret 0 

_d max ENDP 


ほとん ど 同 じ で す が 、。 と b の 値 は スタ ッ ク か ら と られ て 、 関 数 の 結果 は ST(0) に 残り ま 
す 。 

OllyDbg で この 例 を ロー ド し た 場合 、COMISD 命令 が 値 を 比較 し て CF と PF フラ グ を どう 
や っ て セッ トク リア する の か みる こと が で きま す 。 


š F20F104424 à 
66gF2F4424 й 


ЕТ ШШЕ 
・ [So 84 
? 


004424 ac 
C3 


CC 

F2ØF1005 Сӣ21 
F20F1134424 9 
F20F100S pae 
F20F110424 

ES BDFFFFFF 
DDSC24 08 


FF1S 20208591 
case 


F2GF 114424 Q 
F2gF 1985 pe 


Jump is taken 
Dest=d_max. 00821013 


MOUSD ХММӘ, QWORD PTR SS: CARG. 1) 
Сомізо ХММ, QWORD PTR 55: CARG.31 


SHORT 66821613 
FLD QWORD PTR SS:CARG.1] 
FLD QWORD PTR 55: LHRG.3] 
RETN 


IHT3 

INT: 

INT: 

INT: 

INT: 

INT. 

INT. 

INT: 

MOUSD XMMØ, QWORD PTR DS:[8220C01 
SUB ESP, 10 

MOUSD QWORD PTR SS:[CLOCAL. 11, XMMØ 
MOUSD XMMØ, QWORD PTR DS:[822088] 
MOUSD QWORD PTR SS: [LUCHL 31, XMMØ 
CALL 00821000 

FSTP_QWORD PTR SS:CLOCAL.1] 

ADD ESP, 8 

PUSH OFFSET 00823000 

CALL DWORD PTR 05: (<&MSUCR11@. printf >] 
MOUSD ХММ, QWORD PTR 05: (8226081 
PUSH ECX 

MOUSD QWORD PTR SS: CLOCAL. 1], xXMMØ 
MOUSD XMMØ, QWORD PTR 05: (822603) 
MOUSD QWORD PTR SS: CLOCAL.31,xMNa 
CALL 00821000 

АЫ QWORD PTR SS:[LOCRL.11 


ADD ESP, 

PUSH OFFSET 00823004 

CALL DWORD PTR 05: (<&MSUCR11@. printf >] 
ADD ESP, 0C 

COR HACER 
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CPU - main thread, module d max Ioj x! 


FFFFFFFF) 
Bg(FFFFFFFF} 
g(FFFFFFFF) 
Bg(FFFFFFFF} 
7EFDDGG8( FFF) 
g(FFFFFFFF} 


LastErr 000! 00 ER SUCCE 


л 


1.118: OllyDbg: COMISD は CF と PF フラ グ を 変更 


第 1.29.4 節 計算 機 イ プシ ロン を 


計算 する : x64 と SIMD 


「 計 算 機 イ プシ ロン を 計算 する 」 の 例 を double 型 で 再訪 し まし ょ う : リス ト 1.24.2 
x64 で コン パイ ル し ます 。 


Listing 1.400: 最適 化 MSVC 2012 x64 


v$ = 8 

catcutate machin 
movsdx 
movaps 
inc 
movsdx 
subsd 
ret 

calculate machin 


e epsilon PROC 

QWORD PTR v$[rsp], xmm0 
xmm1, xmmO 

QWORD PTR v$[rsp] 

xmm0, QWORD PTR v$[rsp] 
xmmO, xmml 

0 

e epsilon ENDP 


128 ビ ッ ト XMM レ ジス タ に 値 を 1 加え る 方 法 が な い の で 、 メ モリ 上 に 配置 し な けれ ば な り 


ませ ん 。 


し か し な が ら 、ADDSD 命令 0 が あり ます 。 高位 64 ビ ッ ト を 無視 し つつ 、 こ れ は 低位 64 ビ 
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ッ ト の XMM レ ジス タ に 値 を 加え る こと が で きま す 。 し か し 、MSVC 2012 は お そら くそ れ 
ほど 良く な いで す 。175 
それ で も 、 値 は XMM レ ジス タ に 再 ロ ー ド され 、 減算 が 行わ れ ま す 。 SUBSD は 「Subtract 
Scalar Double-Precision Floating-Point Values] です 。 つま り 、128 ビ ッ ト XMM レ ジス タ 
の 下位 64 ビ ッ ト 部 に 対し て 動作 し ます 。 結果 は XMM0 レ ジス タ に 返さ れ ま す 。 


第 1.29.5 節 疑似 乱数 値 の 生成 例 を 再訪 

「 疑 似 乱 数 値 の 生成 例 」 を 再訪 し まし ょ う : リス ト 1.24.1 

MSVC 2012 で コン パイ ル す る と 、FPU 用 に SIMD 命 令 を 使用 し ます 。 
Listing 1.401: 最適 化 MSVC 2012 


__real@3f800000 DD 03f800000r ; 1 


tv128 -4 
_tmp$ = -4 
?float_rand@@YAMXZ PROC 
push ecx 
call ?my_rand@@YAIXZ 
; EAX= 疑 似 乱数 1 
and eax, 8388607 ; 007fffffH 
or eax, 1065353216 ; 3f800000H 
EAX= 疑 似 乱数 値 0x007fffff | Ox3f800000 
; ロー カル スタ ッ ク に 保存 
mov DWORD РТА _tmp$[esp+4], eax 
浮動 小数 点数 と し て リロ ー ド 
movss xmm0, DWORD PTR _tmp$[esp+4] 
; 1.0 を 減算 
subss  xmm0, DWORD PTR _ real@3f800000 
; 一 時 変数 に 置く こと で 値 を STO9 に ムー ブ 
movss DWORD PTR tv128[esp+4], xmmO 
; 値 を STO に リロ ー ド 


[mnr 


fld DWORD РТА tv128[esp+4] 
pop ecx 
ret 0 


?float_rand@@YAMXZ ENDP 


命令 は すべ て -SS 接 尾 辞 が つい て いま す 。 こ れ は 、「Scalar Single」 を 表し ます 。 
「Scalar」 は 、1 つ の 値 だ けが レジ スタ に 格納 され る こと を 意味 し ます 。 
[Single] 17614 float デー タ 型 を 表し ます 。 


第 1.29.6 節 概要 


ここ に 示す すべ て の 例 で は 、 数 値 を IEEE 754 形 式 で 格納 する た め に 、XMM レ ジス タ の 下 半 
分 だ けが 使用 され て いま す 。 


175 練 習 と し て 、 ロ ー カ ルス タッ ク の 使用 を 取り 除く た め に この コー ド を 書き 直し て も いい か も し れ ま せん 。 
176 す な わ ち 、 単 精度 
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本 質 的 に 、- SD (「Scalar Double-Precision」) の 接頭 語 が つい た 命令 は すべ て 、 IEEE 754 
式 の 浮動 小数 点数 と し て 動作 し ます 。 そ し て 、 XMM レ ジス タ の 下位 64 ビ ッ ト 半 分 に 格納 さ 
れ ま す 。 


そし て それ は 、 お そら く SIMD 拡 張 が 過去 の FPU 拡 張 よ り も 混 沖 と し て いな い 方 法 で 進化 し 
た た め に 、FPU よ り も 簡単 で す 。 ス タッ クレ И 


double を float に 置き 換え よう と し た 場 


これ ら の 例 で は 、 同 じ 命 令 кая -55 (「Scalar Single-Precision」) 接頭 語 が 
つき ます 。 例 えば 、MOVSS、COMTSS、ADDSS RETH., 


「Scalar」 は 、SIMD レ ジス タ に 複数 の 値 で は な く 1 つ の 値 し か 含ま れ て いな いこ と を 意味 し 
ます 。 


レジ スタ 内 の 複数 の 値 を 同時 に 扱う 命令 は 、 そ れ ら の 名 前 に 「 パ ッ ク 」 さ れ て いま す 。 
言う まで も な く 、SSE2 命 令 は 64 ビ ッ ト の IEEE 754 形 式 の 数 (double ) で 機能 し ます が 、 
FPU の 浮動 小数 点数 の 内 部 表現 は 80 ビ ッ ト の 数 値 で す 。 

し た が っ て 、FPU は 丸め 誤差 を 少な くす る こと が で き 、 そ の 結果 、FPU は より 正確 な 計算 結 
果 を 得 ら れ ま す 。 


第 1.30 節 ARM 固 有 の 詳細 


第 1.30.1 節 番号 の 前 の 番号 記号 (#) 


Keil コ ン パ イラ 、IDA 、 お よび objdump は 、 す べ て の 番号 の 前 に 「#」 番号 記号 を 付け ます 。 
例え ば : リス ト 1.16.1. 


し か し GCC 4.9 が アセ ンプ ブリ 言語 出力 を 生成 する と き 、 そ れ は し ませ ん 。 例え ば: リス 


К??. 
この 本 の ARM の リス ト は 多少 複雑 で す 。 
どちら の 方 法 が 正しい の か わか り に くい で す 。 お そら く 、 彼 / 彼 女 が 働く 環境 で 受け 入れ ら 
れ て いる 規則 に 従わ な けれ ば な り ま せん 。 
第 1.30.2 節 アド レッ シン グモ ー ド 
の 命令 は ARM64 で も 使用 で きま す 。 


tdr x0, [x29,24] 


これ は 、X29 の 値 に 24 を 加え て 、 こ の アド レス か ら 値 を ロー ド す る こと を 意味 し ます 。 


24 が 括弧 の 内 側 に ある こと に 注意 し て くだ さい 。 数 字 が 括弧 の 外側 に ある 場合 、 意 味 は 異 
な り ま す 。 


ldr w4, [x1],28 


これ は 、X1 の アド レス に 値 を ロー ド し て か ら 、X1 に 28 を 加算 する こと を 意味 し ます 。 
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ARM で は 、 ロ ー ド に 使用 され る アド レス に 定数 を 追加 し た り そ こ か ら 定 数 を 減算 し た り で 
きま す 。 
そし て 、 ロ ー ド の 前 後に それ を する こと は 可能 で す 。 
x86 に は その よう な アド レッ シン グモ ー ド は あり ませ ん が 、 他 の プロ セッ サ に は 、PDP-11 で 
さえ 、 存 在 し ます 。 
PDP-11 の 前 置 イ ンク リ メ ン ト 、 後 置 イ ンク リ メ ン ト 、 前 置 デ クリ メン ト 、 後 置 デ クリ メン 
ト の 各 モ ー ド は 、 (PDP-11 上 で 開発 され た ) その よう な C 言 語 の 構造 体 が *ptr++, *++ptr, 
*ptr--, *--ptr と し て 出現 し た こと に 対し て 「 罪 」 が あり まし た 。 


と ころ で 、 こ れ は C の 機能 を 暗記 する の が 難し いこ と の 1 つ で す 。 こ の よう に な っ て いま す 。 


C term ARM term C statement | how it works 

後 置 イ ンク リ メ ン ト | 後 置 イ ン デ ックス アド レッ シン グ | *ptr++ *ptr の 値 を 使い 、 
次 に ptr ポイ ンタ を 
イッ クリ メジ ント 

後 置 デ クリ メン ト 後 置 イ ン デ ックス アド レッ シン グ | *ptr-- *ptr の 値 を 使い 、 
次 に ptr ポイ ンタ を 
デ テグ ダリ メ ント 

前 置 イ ンク リ メ ン ト | 前 置 イ ン デ ックス アド レッ シン グ | *++ptr ptr ポイ ンタ を イン クリ メン ト 、 
次 に *ptr の 値 を 
使用 

前 置 デ クリ メン ト 前 置 イ ン デ ックス アド レッ シン グ | *--ptr ptr の 値 を デ ク リ メン ト 、 
次 に *ptr の 値 を 
使用 


ARM の アセ ン ブ リ 言語 で は 、 プ レイ ン デ クシ ング に 感嘆 符 が 付け られ て いま す 。 た と えば 、 
リス ト 1.28 の 2 行 目 を 参照 し て くだ さい 。 


デニ ス ・ リ ッ チ ー (C 言 語 の 作成 者 の 一 人 ) は 、 こ の プロ セッ サ の 機能 が PDP-7 177 に 存在 
し て いた た め 、 ケ ン ・ ト ンプ ソン (も う 一 人 の C 言 語 作成 者 ) に よっ て 発明 され た と 考え て 
いる と 述べ まし た [Dennis M. Ritchie, The development of the C language, (1993)1+78 


し た が っ て 、C 言 語 コ ン パ イラ は 、 そ れ が ター ゲッ ト プ ロ セッ サ に 存在 する 場合 は 使用 で 
きま す 。 


配列 処理 に は と て も 便利 で す 。 


第 1.30.3 節 レジ スタ へ の 定数 の ロー ド 
32 ビ ッ ト ARM 


すでに ご 存じ の と お り 、 す べ て の 命令 の 長 さ は ARM モ ー ド で は 4 バイ ト 、Thumb モ ー ド で 
は 2 バイ ト で す 。 


それ で は 、1 つ の 命令 で エン コー ド で き な い 場合 、 ど うす れ ば 32 ビ ッ ト 値 を レジ スタ に ロ 
ー ド で きる で し ょ うか 。 


や っ て み ま し ょ う 。 


177http://yurichev.com/mirrors/C/c_dmr_postincrement.txt 
178 以 下 で 利用 可能 pdf 
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unsigned int f() 


{ 

return 0х12345678; 
}; 

Listing 1.402: GCC 4.6.3 -O3 ARM モ ー ド 

f: 

tdr ro, .L2 

bx tr 
.L2: 


-word 305419896 ; 0x12345678 


し た が っ て 、6x12345678 の 値 は メモ リ に 保存 され 、 必 要 に 応じ て ロー ド さ れ ま す 。 
し か し 、 追 加 の メモ リア クセ ス を 取り 除く こと は 可能 で す 。 
Listing 1.403: GCC 4.6.3 -O3 -march=armv7-a (ARM モ ー ド ) 


movw rO, #22136 ; 0x5678 
movt rO, #4660 ; 0x1234 
bx tr 


値 は 部 分 的 に レジ スタ に ロー ド さ れ 、 最初 に 下位 部 分 (MOVW を 使用 )、 次 に 上 位 部 分 (MOVT 
を 使用 ) の 順に ロー ド さ れ ま す 。 


これ は 、32 ビ ッ ト 値 を レジ スタ に ロー ド す る た め に ARM モ ー ド で は 2 命令 が 必要 で ある こ 
と を 意味 し ます 。 


実際 の コー ド に は 定数 が それ ほど 多く な いた め (0 と 1 を 除く )、 実 際 の と ころ 問題 に は な 
り ま せん 。 


2 命令 の バー ジョ ン は 1 命令 の バー ジョ ン よ り 遅 いと いう こと で し ょ うか ? 


間違い な くそ う で す 。 ほ と ん どの 場合 、 最 新 の ARM プ ロ セ ッ サ は その よう な シー ケン ス を 
検出 し て 高速 に 実行 で きま す 。 


一 方 、IDA は コー ド 内 の その よう な パタ ー ン を 検出 し 、 こ の 関数 を 次 の よう に 逆 ア セン ブ 
ル し ます 。 


MOV RO, 0x12345678 
BX LR 


ARM64 


uint64 t f() 
1 


}; 


return 0x12345678ABCDEF01; 


Listing 1.404: GCC 4.9.1 -O3 


mov x0, 61185 ; Oxef01 
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movk x0, Oxabcd, lsl 16 
movk x0, 0х5678, lsl 32 
movk x0, 0x1234, tst 48 
ret 


MOVK は 「MOV Keep」 を 表し 、 つ まり 、 残 り の ビッ ト に は 触れ ず に 、 レ ジス タ に 16 ビ ッ ト 
値 を 書き 込み ます 。LSL 接尾 辞 は 、 各 ステ ッ プ で 値 を 16、32、48 ビ ッ ト 左 に シフ ト し ま 
す 。 シ フト は ロー ド 前 に 行わ れ ま す 。 


これ は 、64 ビ ッ ト 値 を レジ スタ に ロー ド す る た め に 4 つの 命令 が 必要 で ある こと を 意味 し 
ます 。 
浮動 小数 点数 を レジ スタ に 格納 


命令 を 1 つ だ け 使 用 し て 浮動 小数 点数 を D レ ジス タ に 格納 する こと は 可能 で す 。 
例え ば : 


double a( ) 
{ 

return 1.5; 
}; 


Listing 1.405: GCC 4.9.1 -O3 + objdump 


0000000000000000 <a>: 
0: 1e6f1000 fmov 00, #1.500000000000000000e+000 
4: d65f03c0 ret 


15 と いう 数 は 実際 、32 ビ ッ ト 命 令 で エン コー ド さ れ ま す 。 し か し 、 ど う や っ て ? 
ARM64 で は 、 い くつ か の 浮動 小数 点数 を エン コー ド す る た め に 8 ビッ ト が FMOV 命令 に は 
あり ます 。 

アル ゴリ ズム は [ARM Architecture Reference Manual, ARMv8, for ARMv8-A architecture 
profile, (2013)]173 で は VFPExpandImm() と 呼ば れ ま す 。 minifloat180 と も 呼ば れ ま す 。 

さま ざま な 値 を 試す こと が で きま す 。 コン パイ ラ は 30.0 と 31.0 を エン コー ド で きま す が 、 
IEEE 754 形 式 で 8 バイ ト を この 番号 に 割り 当て る 必要 が ある た め 、32.0 を エン コー ド す る 
こと は で きま せん 。 


double а() 
{ 
return 32; 
}; 
Listing 1.406: ССС 4.9.1 -ОЗ 
а: 


173 以 下 で 利用 可能 http://yurichev.com/mirrors/ARMv8-A Architecture Reference Manual_ 
(Issue A.a) .pdf 
180wikipedia 
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tdr dQ, .LCO 
ret 
.LCO: 
.word 0 
.word 1077936128 


第 1.30.4 節 ARM64 で の 再 配置 


ご 存じ の と お り 、ARM64 に は 4 バイ ト の 命令 が ある た め 、 単 一 の 命令 を 使用 し て 大 き な 数 
を レジ スタ に 書き 込む こと は 不可 能 で す 。 


それ に も か か わら ず 、 実 行 可能 イメ ー ジ は メモ リ 内 の 任意 の ラン ダム アド レス に 読み 込む 
こと が で きる の で 、 relocs が 存在 する の は その た めで す 。(Win32 PE に 関し て ) relocs に つ 
いて も っ と 読む : ?? on page ?? 


アド レス は ARM64 の ADRP と ADD 命令 の ペア を 使用 し て 形成 され ます 。 


1 つ 目 は 4KiB ペ ー ジ の アド レス を ロー ド し 、2 つ 目 は 残り を 追加 し ます 。win32 で GCC 
(Linaro) 4.90 「 ハ ロー ワー ルド !」( リ スト 1.8 ) か ら 例 を コン パイ ル し まし ょ う : 


Listing 1.407: GCC (Linaro) 4.9 and objdump of object file 


..»aarch64-linux-gnu-gcc.exe hw.C -с 


..»aarch64-linux-gnu-objdump.exe -d hw.o 


0000000000000000 <main>: 


0: a9bf7bfd stp x29, x30, [sp,#-16]! 
4: 910003fd mov x29, sp 

8: 90000000 adrp x0, 0 <main> 

G: 91000000 add x0, x0, #0х0 

10: 94000000 bl 0 <printf> 

14: 52800000 mov w0, #0x0 // #0 

18: a8c17bfd tdp x29, x30, [sp],#16 
1c: d65f03c0 ret 


..»aarch64-linux-gnu-objdump.exe -r hw.o 


RELOCATION RECORDS FOR [.text]: 
OFFSET TYPE VALUE 
0000000000000008 R AARCH64 ADR PREL PG HI21 .rodata 
000000000000000c R AARCH64 ADD ABS LO12 NC .rodata 
0000000000000010 R AARCH64 CALL26 printf 


その た め 、 こ の オブ ジェ クト ファ イル に は 3 つの 再 配 置 (relocs) が あり ます 。 


・ 最初 の ペー ジア ドレ ス は ペー ジア ドレ ス を 取り 、 最 下位 の 12 ビ ッ ト を 切り 捨て 、 残 り 
の 上 位 21 ビ ッ ト を ADRP 命令 の ビッ ト フ ィ ー ル ド に 書き 込み ます 。 これ は 、 下位 12 ビ 
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ッ ト を エン コー ド す る 必要 が な いた めで 、ADRP 命令 に は 21 ビ ッ ト の スペ ー ス し か あ 
り ま せん 。 
・ 2 番目 の も の は 、 ペ ー ジ 開始 に 関連 する アド レス の 12 ビ ッ ト を ADD 命令 の ビッ ト フ 
ィ ー ル ド に 入れ ます 。 


・ 最後 の 26 ビ ッ ト の 1 は 、printf( ) 関数 へ の ジャ ンプ が ある アド レス 0х10 の 命令 に 
適用 され ます 。 
すべ て の ARM64 (お よび ARM モ ー ド の ARM) 命令 アド レス は 、 下 位 2 ビ ッ ト に ゼロ が 
ある た め (すべ て の 命令 の サイ ズ が 4 バイ ト で ある た め )、28 ビ ッ ト ア ドレ ス 空 間 の 
最大 26 ビ ッ ト (4128MB) の み を エン コー ド す る 必要 が あり ます 。 
実行 可能 ファ イル に は その よう な 再 配置 は あり ませ ん 。 な ぜ な ら 、「Hello!」 の 文字 列 が ど 
こ に ある か 、 ど の ペー ジ に ある か 、puts( ) の アド レス も わか っ て いる か ら で す 。 
その た め 、ADRP、ADD 、 お よび BL 命令 に は すでに 値 が 設定 され て いま す (リン カ は リン 
ク 中 に それ ら を 書き 込み まし た )。 


Listing 1.408: objdump of executable file 


0000000000400590 <main>: 


400590: a9bf7bfd stp x29, x30, [sp,£-16]! 
400594: 910003fd mov x29, sp 

400598: 90000000 adrp x0, 400000 < init-0x3b8» 
40059c: 91192000 add x0, x0, #0x648 

400520: 97ffffa0 bl 400420 <puts@plt> 
4005234: 52800000 mov wO, #0x0 // #0 

4005288: a8c17bfd 1ар х29, x30, [5р],#16 
4005ac: d65f03c0 ret 


Contents of section .rodata: 
400640 01000200 00000000 48656c6c 6f210000 ........ Hello!.. 


例 と し て 、BL 命 令 を 手動 で 逆 ア セン ブル し て み ま し ょ う 。 

0x97ffffaO は 0510010111111111111111111110100000 で す 。 [ARM Architecture Reference 
Manual, ARMv8, for ARMv8-A architecture profile, (2013)C5.6.26] に よる と 、imm26 
は 最後 の 26 ビ ッ ト で す 。 

imm26 = 0b11111111111111111110100000 それ は Ox3FFFFAO で す が 、MSB は 1 で す 。 従っ 
て 数 は 負数 で す 。 そし て 私 達 の た め に 便利 な 形式 に 手動 で 変換 で きま す 。 否定 の 規則 
に 従っ て 、 す べ て の ビッ ト を 反転 し ます (0b1011111=0x5F), 。 そ し て 、1 を 加算 し ます 
(0x5F+1=0x69)。 そ の た め 、 符 号 付き 形式 の 数 は -0x69 CF. -0x60 に 4 を 掛け て み ま し 
ょ う 。 (オペ コー ド に 格納 され て いる アド レス は 4 で 除算 され て いる た め ) -0х180 に な り 
ます 。 それで は 、 宛 先 ア ドレ ス を 計算 し まし ょ う : 0x4005a0 + (-0x180) = 0x400420 
(注意 : 現在 の PC! の 値 で は な く 、BL 命 令 の アド レス を 考慮 し ます 。 異な る か も し れ ま せ 
A!) その た め 、 宛 先 ア ドレ ス は 0x400420 で す 。 


ARM64 関 連 の 再 配置 の 詳細 : [ELF forthe ARM 64-bit Architecture (AArch64), (2013)]181 


181 以 下 で 利用 可能 http://infocenter.arm.com/hetp/topic/com.arm.doc.1h10056b/THT9056B_ 
aaelf64. pdf 
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第 1.31 節 MIPS 特 有 の 詳細 
第 1.31.1 節 32 ビ ッ ト 定 数 を レジ スタ に ロー ド す る 


unsigned int f() 


{ 
}; 


return 0х12345678; 


MIPS の すべ て の 命令 は 、ARM と 同様 に 32 ビ ッ ト の サイ ズ を 持っ て いる た め 、1 つ の 命令 
に 32 ビ ッ ト の 定数 を 埋め 込む こと は で きま せん 。 


その た め 、 少 な く と も 2 つの 命令 を 使用 する 必要 が あり ます 。1 つ 目 は 32 ビ ッ ト 数 の 上 位 音 
分 を ロー ド し 、2 つ 目 は ター ゲッ トレ ジス タ の 下位 16 ビ ッ ト 部 分 を 効果 的 に 設定 する OR 演 
算 を 適用 し ます 。 


Listing 1.409: GCC 4.4.5 -O3 (アセ ン ブ リ 出力 ) 


li $2,305397760 # 0x12340000 
j $31 
ori $2,$2,0x5678 : 分 岐 遅 延 ス ロッ ト 


IDA は この よう な 頻繁 に 発生 する コー ド パ タ ー ン を 完全 に 認識 し て いる の で 、 便 宜 上 、 最 
後 の ORI 命令 を LI 疑似 命令 と し て 示し て いま す 。 そ れ は 完全 な 32 ビ ッ ト 数 を $VO レジ 
スタ に ロー ド す る と され て いま す 。 


Listing 1.410: GCC 4.4.5 -O3 (IDA) 


lui $v0, 0x1234 
jr $ra 
li $v0, 0x12345678 : 分 岐 遅延 スロ ッ ト 


GCC アセ ン ブ リ の 出力 に は 疑似 命令 が あり ます が 、 実 際 に は LUI ( [Load Upper 
Immediate」) で あり 、 こ れ が 16 ビ ッ ト 値 を レジ スタ の 上 位 部 分 に 格納 し ます 。 


objdump の 出力 を 見 て み ま し ょ う 。 
Listing 1.411: objdump 


00000000 <f>: 


0: 3c021234 lui v0,0x1234 
4: 03e00008 jr ra 
8: 34425678 ori v0,v0,0x5678 


32 ビ ッ ト グ ロー バル 変数 を レジ スタ に ロー ド す る 


unsigned int global var=0x12345678: 


unsigned int f2() 
{ 


}; 


return global var; 
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これ は 少し 異な り ま す 。LUI は global var か ら 上 位 16 ビ ッ ト を $2 (また は $V0) KA 
ー ド し 、 次 に 下位 16 ビ ッ ト を ロー ド し て $2 の 内 容 を 合計 し ます 。 


Listing 1.412: GCC 4.4.5 -O3 (アセ ン ブ リ 出力 ) 


f2: 
lui $2,%hi(global var) 
lw $2,%lo(global_var) ($2) 
j $31 
nop ; 分 岐 遅 延 ス ロッ ト 
global var: 


.word 305419896 


IDA は よく 使用 され る LUI/LW 命令 ペア を 完全 に 認識 し て いる た め 、 両 方 を 1 つの LW 命 
令 に 統合 し ます 。 


Listing 1.413: GCC 4.4.5 -O3 (IDA) 


_f2: 
lw $v0, global var 
jr $ra 
or $at, $zero ; 分 岐 遅 延 ス ロッ ト 
. data 
.globl global var 
global var: .word 0x12345678 # DATA XREF: _f2 


objdump の 出力 は GCC の アセ ン ブ リ 出力 と 同じ で す 。 オ ブ ジ ェクト ファ イル の 再 配置 も 
ダン プ し まし ょ う 。 


Listing 1.414: objdump 


objdump -D filename.o 


0000000c <f2>: 


с: 3с020000 lui v0,0x0 

10: 8c420000 lw v0,0(v0) 

14: 03e00008 jr ra 

18: 00200825 move at,at ; 分 岐 遅 延 ス ロッ ト 
1С: 00200825 move at,at 


Disassembly of section .data: 


00000000 «global var»: 
0: 12345678 beq 51,54,159е4 <f2+0x159d8> 
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objdump -r filename.o 


RELOCATION RECORDS FOR [.text]: 


OFFSET TYPE VALUE 
0000000c R MIPS HI16 global var 
00000010 R MIPS 1016 global var 


global var の アド レス は 、 実 行 可能 ファ イル の ロー ド 中 に LUI お よび L 命令 に 直接 書 
き 込ま れる こと が わか り ま す 。 global var の 上 位 16 ビ ッ ト 部 分 は 最初 の も の (LUI) に 、 
下位 16 ビ ッ ト 部 分 は 2 番目 の も の (LW) に 入り ます 。 

第 1.31.2 節 MIPS に つい て さら に 読む 

Dominic Sweetman, MIPS Run 第 二 版 を 参照 , (2010). 


第 2 = 


Japanese text placeholder 


第 2.1 節 Integral datatypes 


整数 型 と は 、 数 値 に 変換 で きる 値 の 型 で す 。 これ に は 数 値 ・ 列 挙 ・ ブ ー ル 値 な ど が あり ま 
す 。 


第 2.1.1 節 Bit 


ビッ ト の 明確 な 使い 方 は ブー ル 値 で す 。: 0 は false. 1 は true に な り ま す . 


ブー リア ン の セッ ト は word に まとめ る こと が で きま す 。32 ビ ッ ト の word に は 32 の ブー リ 
アン が あり ます 。 これ は bitmap また は bitfield と 呼ば れ て いま す 。 


し か し 、 こ れ に は 明らか な オー バー ヘッ ド が あり ます 。 ブ ー ル 変数 に word (また は int) を 
使う の は 経済 的 で は あり ませ ん が 、 非 常に 高速 で す 。 


C/C++ で は 0 が false, 02.0487 true に な り ま す 。 例 えば : 


if (1234) 

printf ("this will always be executed\n"); 
else 

printf ("this will never\n"); 


これ は C の 文字 列 を 列挙 する 一 般 的 な 方 法 で す : 


char *input=...; 


while(*input) // execute body if *input character is non-zero 
t 

// do something with *input 

input++; 
}; 
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第 2.1.2 節 Nibble AKA nybble 
ハー フ パ イト 、 デ テト ラ デ と し て 知ら れ て いま す !+。 4 ビッ ト に 相当 し ます 。 
これ ら の 用 語 は いずれ も 現在 で も 使用 され て いま す 。 


Binary-coded decimal (BCD?) 


4 ビッ トニ ブル は 、 有 名 な イン テル 4004 (電卓 で 使用 され た ) の よう な 4 ビッ ト CPU で 使用 
され て いま し た 。 


4 ビッ ト を 使っ て 10 進 数 を 表現 する binary-coded decimal (BCD) と いう 方 法 が あっ た の 
は 興味 深い こと で す 。 10 進 数 0 は 0b0000、10 進 数 9 は 0b1001 で 表 さ れ 、 そ れ 以 上 の 値 は 
使用 され ませ ん 。10 進 数 1234 は 0x1234 で 表 さ れ ま す 。 も ちろ ん この 方 法 は 経済 的 で は あ 
り ま せん 。 


それ に も か か わら ず 、 こ の 方 法 に は 1 つの 利点 が あり ます 。 それ は 10 進 数 か ら BCD へ の 
変換 が 容易 むこ と で す 。BCD は 加算 、 減 算 な ど が 可能 で す が 、 追 加 の 修正 が 必要 で す 。 
x86 CPU に は その た め の 1Binary-Coded Decimal 443 と いう 珍し い 命令 が あり ます 。: 


AADAA (加算 後に 調整 ), AAS/DAS (減算 後に 調整 ), ААМ (乗算 後に 調整 ), AAD (除算 後に 調 
整 ). 


CPU が BCD を サポ ー ト する 必要 が ある の で 、h カ half-carry flag (on 8080/Z80) や auxiliary 
flag (AF on x86) が 存在 し ます 。 これ は 下位 4 ビッ ト を 進め た 後に 生成 され る キャ リー フ 
ラグ で 、 調 整 命 令 に 使用 され ます 。 


変換 が 容易 な こと か ら [Peter Abel, IBM PC assembly language and programming 
(1987)] と いう 本 が 人 気 に な り ま し た 。 この 本 は さて お き 、 著 者 は magic numbers(?? 
on page ??) 以外 に BCD ナ ン バ ー を 見 た こと が あり ませ ん 。 例え ば 、 誰 か の 誕生 日 
が 0x19791011 の よう に エン コー ド さ れ て いる 時 、 こ れ は 確か に BCD ナ ン バ ー で す 。 


人 驚く べき こと に 、 著 者 は SAP ソ フト ウェ ア 上 で BCD に エン コー ド さ れ た 数 字 が 使わ れ て い 
る こと に 気がつき まし た 。https://yurichev.com/blog/SAP/. 価格 を 含め た いく つか 
の 数 字 は 、 デ ー タ ベー ス 上 で は BCD 形 式 で エン コー ド さ れ て いま す 。 お そら く 、 何 ら か の 
古い ソフ トウ ェ ア ・ ハ ー ド ウェ ア と の 互換 性 を 持た せる た め に 使用 され た の で は な いで し 
ょ うか ? 


x86 の BCD 命 令 は 他 の 目的 、 特 に 文書 化 さ れ て いな い 方 法 な ど で よ く 使 われ て いま し た 。 
例え ば 


cmp al,10 
sbb at,69h 
das 


この 曖昧 な コー ド は 、0~15 の 数 字 を ASCII 文 字 '0.…'9", A. F に 変換 し ます 。 


Z80 


+ と し て 知ら れ て いま す ! 
2Binary-Coded Decimal 
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Z80 は 8 ビッ ト の Intel 8080 の CPU の クロ ー ン で 、 ス ペー ス の 制約 か ら 4 ビ ッ ト の ALU を 持 
っ て いま す 。 こ の 副作用 と し て half-carry flag が 容易 に 、 か つ 自 然 に 発生 する こと が あり 
ます 。 


第 2.1.3 節 Byte 


Byte is primarily used for character storage. 8-bit bytes were not common as today. 
Punched tapes for teletypes had 5 and 6 possible holes, this is 5 or 6 bits for byte. 


To emphasize the fact the byte has 8 bits, byte is sometimes called octet: at least 
fetchmail uses this terminology. 


9-bit bytes used to exist in 36-bit architectures: 4 9-bit bytes would fit in a single 
word. Probably because of this fact, C/C++ standard tells that char has to have a 
room for at least 8 bits, but more bits are allowable. 


For example, in the early C language manual’, we can find this: 


char one byte character (PDP-11, IBM360: 8 bits; H6070: 9 bits) 


By H6070 they probably meant Honeywell 6070, with 36-bit words. 


Standard ASCII table 


7-bit ASCII table is standard, which has only 128 possible characters. Early E-Mail 
transport software were operating only on 7-bit ASCII codes, so a MIME^ standard 
needed to encode messages in non-Latin writing systems. 7-bit ASCII code was 
augmented by parity bit, resulting in 8 bits. 


Data Encryption Standard (DES?) has a 56 bits key, this is 8 7-bit bytes, leaving a 
space to parity bit for each character. 


There is no need to memorize whole ASCII table, but rather ranges. [0..0x1F] are 
control characters (non-printable). [0x20..0x7E] are printable ones. Codes starting 
at 0x80 are usually used for non-Latin writing systems and/or pseudographics. 


Significant codes which will be easily memorized are: 0 (end of C-string, 'N0' in 
C/C++); OxA or 10 (line feed, 'Nn' in C/C++); OxD or 13 (carriage return, 'Nr' in 
C/C++). 


0x20 (space) is also often memorized. 


8-bit CPUs 


x86 has capability to work with byte(s) on register level (because they are descendants 
of 8-bit 8080 CPU), RISC CPUs like ARM and MIPS—not. 


3https://yurichev.com/mirrors/C/bwk-tutor.html 
^Multipurpose Internet Mail Extensions 
3Data Encryption Standard 
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第 2.1.4 節 Wide char 


This is an attempt to support multi-lingual environment by extending byte to 16-bit. 
Most well-known example is Windows NT kernel and win32 functions with W suffix. 
This is why each Latin character in plain English text string is interleaved with zero 
byte. This encoding is called UCS-2 or UTF-16 


Usually, wchar_t is synonym to 16-bit short data type. 


第 2.1.5 節 Signed integer vs unsigned 


Some may argue, why unsigned data types exist at first place, since any unsigned 
number can be represented as signed. Yes, but absence of sign bit in a value extends 
its range twice. Hence, signed byte has range of -128..127, and unsigned one: 
0..255. Another benefit of using unsigned data types is self-documenting: you define 
a variable which can't be assigned to negative values. 


Unsigned data types are absent in Java, for which it’s criticized. It’s hard to implement 
cryptographical algorithms using boolean operations over signed data types. 


Values like 0xFFFFFFFF (-1) are used often, mostly as error codes. 


第 2.1.6 節 Word 


Word word is somewhat ambiguous term and usually denotes a data type fitting 
in GPR. Bytes are practical for characters, but impractical for other arithmetical 
calculations. 


Hence, many CPUs have GPRs with width of 16, 32 or 64 bits. Even 8-bit CPUs 
like 8080 and Z80 offer to work with 8-bit register pairs, each pair forming a 16-bit 
pseudoregister (BC, DE, HL, etc.). Z80 has some capability to work with register 
pairs, and this is, in a sense, some kind of 16-bit CPU emulation. 


In general, if a CPU marketed as “n-bit CPU”, this usually means it has n-bit GPRs. 


There was a time when hard disks and RAM modules were marketed as having n 
kilo-words instead of b kilobytes/megabytes. 


For example, Apollo Guidance Computer has 2048 words of RAM. This was a 16-bit 
computer, so there was 4096 bytes of RAM. 


TX-0 had 64K of 18-bit words of magnetic core memory, i.e., 64 kilo-words. 


DECSYSTEM-2060 could have up to 4096 kilowords of solid state memory (i.e., hard 
disks, tapes, etc). This was 36-bit computer, so this is 18432 kilobytes or 18 
megabytes. 


Essentially, why do you need bytes if you have words? Mostly for text strings processing. 
Words can be used in almost any other situations. 


int in C/C++ is almost always mapped to word. (Except of AMD64 architecture where 
int is still 32-bit one, perhaps, for the reason of better portability.) 
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int is 16-bit on PDP-11 and old MS-DOS compilers. int is 32-bit on VAX, on x86 starting 
at 80386, etc. 


Even more than that, if type declaration for a variable is omitted in C/C++ program, 
int is used silently by default. Perhaps, this is inheritance of B programming languages. 


GPR is usually fastest container for variable, faster than packed bit, and sometimes 
even faster than byte (because there is no need to isolate a single bit/byte from 
GPR). Even if you use it as a container for loop counter in 0..99 range. 


Word in assembly language is still 16-bit for x86, because it was so for 16-bit 8086. 
Double word is 32-bit, quad word is 64-bit. That’s why 16-bit words are declared 
using DW in x86 assembly, 32-bit ones using DD and 64-bit ones using DQ. 


Word is 32-bit for ARM, MIPS, etc., 16-bit data types are called half-word there. 
Hence, double word on 32-bit RISC is 64-bit data type. 


GDB has the following terminology: halfword for 16-bit, word for 32-bit and giant 
word for 64-bit. 


16-bit C/C++ environment on PDP-11 and MS-DOS has /ong data type with width of 
32 bits, perhaps, they meant long word or long int? 


32-bit C/C++ environment has long long data type with width of 64 bits. 
Now you see why the word word is ambiguous. 


Should I use int? 


Some people argue that int shouldn’t be used at all, because it ambiguity can lead 
to bugs. For example, well-known /zhuf library uses int at one point and everything 
works fine on 16-bit architecture. But if ported to architecture with 32-bit int, it can 
crash: http://yurichev.com/blog/lzhuf/. 


Less ambiguous types are defined in stdint.h file: uint8 t, uint16 t, uint32 t, uint64 t, 
etc. 


Some people like Donald E. Knuth proposed/ more sonorous words for these types: 
byte/wyde/tetrabyte/octabyte. But these names are less popular than clear terms 
with inclusion of u (unsigned) character and number right into the type name. 


Word-oriented computers 


Despite the ambiguity of the word term, modern computers are still word-oriented: 
RAM and all levels of cache are still organized by words, not by bytes. However, size 
in bytes is used in marketing. 


Access to RAM/cache by address aligned by word boundary is often cheaper than 
non-aligned. 


Shttp://yurichev.com/blog/typeless/ 
7http://www- сѕ - facutty . stanford .edu/-uno/news98 .htmt 
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During data structures development, which are supposed to be fast and efficient, one 
should always take into consideration length of the word on the CPU to be executed 
on. Sometimes the compiler will do this for programmer, sometimes not. 


第 2.1.7 節 Address register 


For those who fostered on 32-bit and/or 64-bit x86, and/or RISC of 90s like ARM, 
MIPS, PowerPC, it's natural that address bus has the same width as GPR or word. 
Nevertheless, width of address bus can be different on other architectures. 


8-bit Z80 can address 2!? bytes, using 8-bit registers pairs or dedicated registers (IX, 
IY). SP and PC registers are also 16-bit ones. 


Cray-1 supercomputer has 64-bit GPRs, but 24-bit address registers, so it can address 
224 (16 megawords or 128 megabytes). RAM was very expensive in 1970s, and a 
typical Cray had 1048576 (0x100000) words of RAM or 8MB. So why to allocate 
64-bit register for address or pointer? 


8086/8088 CPUs had a really weird addressing scheme: values of two 16-bit registers 
were summed in a weird manner resulting in a 20-bit address. Perhaps, this was 
some kind of toy-level virtualization (?? on page ??)? 8086 could run several programs 
(not simultaneously, though). 


Early ARM1 has an interesting artifact: 


Another interesting thing about the register file is the PC register is 
missing a few bits. Since the ARM1 uses 26-bit addresses, the top 6 bits 
are not used. Because all instructions are aligned on a 32-bit boundary, 
the bottom two address bits in the PC are always zero. These 8 bits 
are not only unused, they are omitted from the chip entirely. 


(http://www. righto.com/2015/12/reverse-engineering-arml-ancestor-of.html 


) 


Hence, it’s physically not possible to push a value with one of two last bits set into 
PC register. Nor it’s possible to set any bits in high 6 bits of PC. 


x86-64 architecture has virtual 64-bit pointers/addresses, but internally, width of 
address bus is 48 bits (seems enough to address 256TB of RAM). 


第 2.1.8 節 Numbers 


What are numbers used for? 


When you see some number(s) altering in a CPU register, you may be interested in 
what this number means. It's an important skill for a reverse engineer to determine 
possible data type from a set of changing numbers. 
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Boolean 


If the number is switching from 0 to 1 and back, most chances that this value has 
boolean data type. 


Loop counter, array index 


Variable increasing from 0, like: 0, 1, 2, 3...—a good chance this is a loop counter 
and/or array index. 


Signed numbers 


If you see a variable which holds very low numbers and sometimes very high numbers, 
like O, 1, 2, 3, and 0xFFFFFFFF, 0xFFFFFFFE, OxFFFFFFFD, there's a good chance it is 
a signed variable in two’s complement form, and last 3 numbers are -1, -2, -3. 


32-bit numbers 


There are numbers so large, that there is even a special notation which exists to 
represent them (Knuth's up-arrow notation). These numbers are so large so these 
are not practical for engineering, science and mathematics. 


Almostall engineers and scientists are happy with IEEE 754 double precision floating 
point, which has maximal value around 1.8: 10%. (As a comparison, the number of 
atoms іп the observable universe, is estimated to be between 4.107° and 4: 1051.) 


In fact, upper bound in practical computing is much, much lower. In MS-DOS era 
16-bit int was used almost for everything (array indices, loop counters), while 32-bit 
long was used rarely. 


During advent of x86-64, it was decided for int to stay as 32 bit size integer, because, 
probably, usage of 64-bit int is even rarer. 


| would say, 16-bit numbers in range 0..65535 are probably most used numbers in 
computing. 


Given that, if you see unusually large 32-bit value like 0x87654321, this is a good 
chance this can be: 


this can still be a 16-bit number, but signed, between OxFFFF8000 (-32768) and 
OxFFFFFFFF (-1). 


address of memory cell (can be checked using memory map feature of debugger). 


packed bytes (can be checked visually). 
bit flags. 


something related to (amateur) cryptography. 


magic number (?? on page ??). 


IEEE 754 floating point number (can also be checked). 


Almost same story for 64-bit values. 
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...50 16-bit int is enough for almost everything? 


It's interesting to note: in [Michael Abrash, Graphics Programming Black Book, 1997 
chapter 13] we can find that there are plenty cases in which 16-bit variables are 
just enough. In a meantime, Michael Abrash has a pity that 80386 and 80486 CPUs 
has so little available registers, so he offers to put two 16-bit values into one 32-bit 
register and then to rotate it using ROR reg, 16 (on 80386 and later) (ROL reg, 16 
will also work) or BSWAP (on 80486 and later) instruction. 


That reminds us Z80 with alternate pack of registers (suffixed with apostrophe), to 
which CPU can switch (and then switch back) using EXX instruction. 


Size of buffer 


When a programmer needs to declare the size of some buffer, values in form of 2” 
are usually used (512 bytes, 1024, etc.). Values in 2” form are easily recognizable 
(1.21.5 on page 390) in decimal, hexadecimal and binary base. 


But needless to say, programmers are still humans with their decimal culture. And 
somehow, in DBMS area, size of textual database fields is often chosen as 10“ number, 
like 100, 200. They just think l'Okay, 100 is enough, wait, 200 will be better] . And 
they are right, of course. 


Maximum width of VARCHAR2 data type in Oracle RDBMS is 4000 characters, not 
4096. 


There is nothing wrong with this, this is just a place where numbers like 10“ can be 
encountered. 


Address 


It's always a good idea to keep in mind an approximate memory map of the process 
you currently debug. For example, many win32 executables started at 0x00401000, 
so an address like 0x00451230 is probably located inside executable section. You'll 
see addresses like these in the EIP register. 


Stack is usually located somewhere below. 


Many debuggers are able to show the memory map of the debuggee, for example: 
1.9.3 on page 100. 


If a value is increasing by step 4 on 32-bit architecture or by step 8 on 64-bit one, 
this probably sliding address of some elements of array. 


It's important to know that win32 doesn't use addresses below 0x10000, so if you 
see some number below this constant, this cannot be an address (see also: https: 
//msdn.microsoft.com/en-us/library/ms810627.aspx). 


Anyway, many debuggers can show you if the value in a register can be an address 
to something. OllyDbg can also show an ASCII string if the value is an address of it. 
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Bit field 


If you see a value where one (or more) bit(s) are flipping from time to time like 
OxABCD1234 > 0xABCD1434 and back, this is probably a bit field (or bitmap). 


Packed bytes 


When strcmp() огтетстр() copies a buffer, it loads/stores 4 (or 8) bytes simultaneously, 
so if a string containing [4321] , апа it would be copied to another place, at one 
point you'll see 0x31323334 value in some register. This is 4 packed bytes into a 
32-bit value. 


山 
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ж 4 = 
Java 


第 4.1 節 Java 
第 4.1.1 節 
第 4.1.2 節 
第 4.1.3 節 
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第 5 = 


第 5.1 節 Linux 
第 5.2 節 WVWindows NT 
第 5.2.1 節 Windows SEH 


SEH 


[Matt Pietrek, A Crash Course on the Depths of Win32™ Structured Exception Handling, 
(1997)]!, [Igor Skochinsky, Compiler Internals: Exceptions and RTTI, (2012)] °. 


+ 以 下 で 利用 可能 http: //www.microsoft.com/msj/0197/Exception/Exception. aspx 
< 以下 で 利用 可能 http://yurichev.com/mirrors/RE/Recon- 2012- Skochinsky-Compiler-Internals. 
pdf 
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第 6 


ソー ル 


第 6. 


Now that Dennis Yurichev has made this 
book free (libre), it is a contribution to the 
world of free knowledge and free education. 
However, for our freedom’s sake, we need 
free (libre) reverse engineering tools to 
replace the proprietary tools described in 
this book. 


Richard M. Stallman 


1 節 バ イナ リ 解析 


プロ セス を 実行 し な いと き に 使用 する ツー ル 。 


(フリ ー、 オ ー プ ン ソ ー ス ) еп: エン トロ ピー 分 析 ツ ー ル 。 エ ント ロ ピ ー に つい て の 
詳細 : ?? on page ??. 

Hiew2: バイ ナリ ファ イル で の コー ド の 小さ な 変更 を 追 アセ ン ブ ラ ング ディス ア セ 
ン ブ ラ を 内 蔵 。 

(フリ ー、 オ ー プ ン ソ ー ス ) GHex?: Linux 用 の 単純 な 16 進 エディ タ 

(フリ ー、 オ ー プ ン ソ ー ス ) хха and od: ダン プ す る た め の 標 準 的 な UNIX ユ ー テ ィ リ 
ティ 

(フリ ー、 オ ー プ ン ソ ー ス ) strings: 実行 可能 ファ イル を 含む バイ ナリ ファ イル 
で ASCII 文 字 列 を 検索 する た め の *NIX ツ ー ル SRI に ワイ ド 文 字 列 を サポ 
ー ト する 代替 機能 が あり ます (Windows で 広く 使用 され て いる UTF-16) 


(フリ ー、 オ ー プ ン ソ ー ス ) Віпиаік: ファ ー ム ウェ アイ メー ジ の 分 析 


1http://www.fourmitab . ch/ random/ 

2hiew.ru 

3https://wiki.gnome.org/Apps/Ghex 
^https://technet.microsoft.com/en-us/sysinternals/strings 
Shttp://binwalk.org/ 
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・( フ リー、 オ ー プ ン ソ ー ス ) binary grep: 実行 不可 能 な ファ イル を 含む 大 き な フ ァ イ 

ル の 中 の バイ トシ ー ケ ンス を 検索 する た め の 小 さ な ユ ー テ ィ リ ティ : GitHub 同じ 目 
的 の た め に rada.re に rafind2 も あり ます 。 


第 6.1.1 節 ディ ス ア セン ブラ 

• IDA. 古い フリ ー ウ ェ ア バ ー ジ ョ ン が ダウ ン ロ ー ド 可能 で す 6. ホッ トキ ー チ ー ト シー 
К: ?? on page ?? 

* Binary Ninja? 

・ (フリ ー、 オ ー プ ン ソ ー ス ) zynamics BinNavi? 

・ (フリ ー、 オ ー プ ン ソ ー ス ) objdump: ダン プ と ディ ス ア セン ブル の た め の 簡 単 な コ マ 
ンド ライ ン ユ ー テ ィ リ ティ 

e (フリ ー、 オ ー プ ン ソ ー ス ) readelf?: ELF フ ァイル に 関す る ダン プ 情 報 。 


第 6.1.2 節 デコ ン パ イラ 

公 に 利用 可能 な 既知 の 高 品質 な C コ ー ド へ の デコ ン パ イラ が た っ た 1 つ だ け あ り ま す : 
Hex-Rays: 

hex-rays.com/products/decompiler/ 


詳細 を 読む : ?? on page ??. 


第 6.1.3 節 パッ チ の 比較 /diffng 


実行 可能 ファ イル の 一 部 を 元 の バー ジョ ン と 比較 し 、 パ ッ チ が 適用 され た も の と その 理由 
を 調べ る と き に 使用 する こと を お 勧め し ます 。 


e (フリ ー) zynamics BinDiff*° 
e (7')—, 3—7Z> V – А) Ріарһога!! 


第 6.2 節 ライ ブ 解 析 
稼働 中 の シス テム 上 また は プロ セス の 実行 中 に 使用 する ツー ル 。 
第 6.2.1 節 デバ ッ ガ 


• (フリ ー) OllyDbg. と て も 人 気 の あ る ユー ザー モー ド の win32 デ バッ ガ !“. ホッ トキ 
ー チ ー ト シー ト : ?? on page ?? 


6nex-rays.com/products/ida/support/download freeware.shtml 
7http://binary.ninja/ 
8https://www.zynamics.com/binnavi.html 
9https://sourceware.org/binutils/docs/binutils/readelf.html 
10https://ww.zynamics.com/software.html 
Mhttps://github.com/joxeankoret/diaphora 
12ollydbg.de 
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e (フリ ー、 オ ー プ ン ソ ー ス ) GDB. 主 に プロ グラ マ 向 け な の で 、 リ バー スエ ンジ ニア の 間 
で は あま り 一 般 的 で は な い デ バッ ガ 。 い くつ か の コマ ンド : ?? оп page ??. GDB 用 
の ビジ ュ ア ルイ ンタ ー フ ェ イ ス が あり ます 、“GDB dashboard”??. 
・ (フリ ー、 オ ー プ ン ソ ー ス ) LLDB™. 
・ WinDbgP: Windows 用 カー ネル デバ ッ ガ 。 
* IDA に は 内 部 デバ ッ ガ が あり ます 。 
e (フリ ー、 オ ー プ ン ソ ー ス ) Radare AKA rada.re AKA r216, GUI も 存在 し ます : ragui”. 


・ (2) — オープン ソー ス ) tracer. 著者 は し ば し ば デバ ッ ガ の 代わ り に 18 ITtracer を 
使用 し ます 。 


著者 は 、 最 終 的 に デバ ッ ガ の 使用 を 中 止 し まし た 。 実行 し て いる 間 に 関 数 の 引数 を 見 
つけ る こと 、 ま た は ある 時 点 で の レジ スタ の 状態 を 特定 する だ け だ っ た か ら で す 。 毎 
回 デバ ッ ガ を ロー ド す る の は 過剰 で 、 な racer と いう 小さ な ユー ティ リティ が 生ま れ 
まし た 。 コ マン ドラ イン か ら 機 能 し 、 関 数 の 実行 を 傍受 し た り 、 任 意 の 場所 で ブレ ー 
ク ポ イン ト を 設定 し た り 、 レ ジス タ の 状態 を 読み 込ん だ り 変更 し た りす る こと が で き 
ます 。 


注意 tracer は は 進化 し て いま せん 。 な ぜ な ら 、 日常 的 な ツー ル と し て で は な く 、 こ 
の 本 の デモ ンス トレ ーション ツー ル と し て 開発 され た か ら で す 


第 6.2.2 節 ライ ブラ リコ ー ル トレ ー ス 


Itrace!?. 


第 6.2.3 節 シス テム コー ルト レー ス 
strace / dtruss 


これ は 、 ど の シス テム コー ル (syscalls(?? on page ??)) が 現在 プロ セス に よっ て 呼び 出 
され て いる か を 示し ます 


例え ば : 


# strace df -h 


access("/etc/ld.so.nohwcap", F OK) = -1 ENOENT (No such file or 7 
s directory) 

open("/1ib/i386-linux-gnu/libc.so.6", 0 RDONLY|O CLOEXEC) = 3 

геаа (3, "\177ELF 2 
S NINININ0N0N0N0N0N0N0N0N0N30N3N0N1N0N0N0N220N232N1N000440N0N0" ,.., 2 
s 512) = 512 


13https : //github . сот/сугиѕ - and/gdb- dashboard 

14http ://LLdb.tLvm.org/ 
I5https://developer.microsoft.com/en-us/windows/hardware/windows-driver-kit 
16http: //rada. re/r/ 

7http://radare.org/ragui/ 

18yurichev.com 

19nttp://www. Ltrace.ord/ 
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fstat64(3, (st mode=S IFREG|0755, st size=1770984, ...}) = 0 
mmap2(NULL, 1780508, PROT READ|PROT EXEC, MAP PRIVATE|MAP DENYWRITE, 3, 0) 7 
s = 0xb75b3000 


Mac OS X は 同じ こと を 行う た め に dtruss が あり ます 。 


Cygwin に は strace も あり ます が 、 知 る 限り 、cygwin 環 境 用 に コン パイ ル さ れ た .exe フ ァ 
イル に 対し て の み 動 作 し ます 。 


第 6.2.4 節 ネッ トワ ー ク 傍受 
Sniffing は 興味 の ある 情報 を 傍受 し ます 。 


(フリ ー、 オ ー プ ン ソ ー ス ) Wireshark? ネット ワー ク 傍 受 の た め に 。 ま た 、USB ス ニッ フ 
ィング 機能 も 備え て いま す 。 ぐ ^. 


Wireshark に は 若い (また は 古い ) 兄弟 が いま す : cpgu7p<^、 簡 単 な お コマ ンド ライ ン ツ 
ー ル で す 。 


第 6.2.5 節 Sysinternals 


(フリ ー) Sysinternals (Mark Russinovich に よっ て 開発 ) 3. 少な く と も これ ら ツ ー ル は 重 
要 で 、 検 討 する 価値 が あり ます : プロ セス エク スプ ロー ラ 、Handle、VMMap、TCPView、 
プロ セス モニ タ 


第 6.2.6 節 Valgrind 
(フリ ー、 オ ー プ ン ソ ー ス ) メモ リリ ー ク を 検出 する 強力 な ツー ル : http://valgrind. 
org/. 強力 な jT ダ メカ ニズム の た め 、Valgrind は 他 の ツー ル の フレ ー ム ワー ク と し て 使用 
され て いま す 
第 6.2.7 節 エミ ュ レ ー タ 

・( フ リー、 オ ー プ ン ソ ー ス ) OEMU22: さま ざま な CPU お よび アー キテ クチ ャ 用 の エミ 


ュ レ ー タ 

・( フ リー、 オ ー プ ン ソ ー ス ) DosBox?®: MS-DOS エ ミュ レー タ 、 主 に レト ロ ゲ ー ム に 
使用 され ます 。 

・( フ リー、 オ ー プ ン ソ ー ス ) SimH2?’?: 大 昔 の コン ピュ ー タ 、 メ イン フレ ー ム な どの エミ 
ュ レ ー タ 


20https://www.wireshark.org/ 
2lhttps://wiki.wireshark.org/CaptureSetup/USB 
22http://www.tcpdump.org/ 
?3https://technet.microsoft.com/en-us/sysinternals/bb842062 
24just-In-Time compilation 

25http://qemu.org 

26https://www.dosbox.com/ 

27http://simh.trailing-edge.com/ 
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第 6.3 節 他 の ツー ル 
Microsoft Visual Studio Express 28: 簡単 な 実験 に 便利 な 、Visual Studio の 無償 版 。 
いく つか の 便利 な オプ ショ ン : ?? on page ??. 


“Compiler Explorer” と いう Web サ イト が あり 、 小 さ な コ ー ド スニ ペッ ト を コン パイ ル し 、 
さま ざま な GCC の バー ジョ ン と アー キテ クチ ャ (少な く と も x86、ARM、MIPS) で 出力 を 
見 る こと が で きま す : http://godbolt .org/ 一 も し 私 が それ に つい て 知っ て いた ら 、 私 
は 本 の た め に それ を 使っ た で し ょ う ! 


第 6.3.1 節 電 


リバ ー ス エン ジニ ア の ニー ズ に 合っ た 良い 電卓 は 、 少なくとも 10 進 数 、16 進 数 、 2 進数 べ 
ー ス 、XOR や シフ ト な どの 多く の 重要 な 演算 を サポ ー ト する 必要 が あり ます 。 


・ IDA に は ビル トイ ン の 電卓 が あり ます (“?”). 

° rada.re に は rax2 が あり ます 。 

° https://yurichev.com/progcalc/ 

・ 最後 の 手段 と し て 、Windows の 標準 電卓 に は プロ グラ マモ ー ド が あり ます 。 


第 6.4 節 何 か 足 りな いも の は ? 


ここ に リス ト さ れ て いな い 素 晴らし い ツ ー ル が 知っ て いる 場合 は : 
my emails 


第 6.5 節 
第 6.6 節 
Pierre Capillon - Black-box cryptanalysis of home-made encryption algorithms: a 


practical case study. 


How to Hack an Expensive Camera and Not Get Killed by Your Wife. 


28visualstudio.com/en-US/products/visual-studio-express-vs 


Ax AL 
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その 他 


第 8 = 


読む べき 本 / ブ ログ 


第 8.1 節 本 と 他 の 資料 
第 8.1.1 節 リ り リバー スエ ンジ ニア リン グ 
Eldad Eilam, Reversing: Secrets of Reverse Engineering, (2005) 


Bruce Dang, Alexandre Gazet, Elias Bachaalany, Sebastien Josse, Practical Reverse 
Engineering: x86, x64, ARM, Windows Kernel, Reversing Tools, and Obfuscation, 
(2014) 


Michael Sikorski, Andrew Honig, Practical Malware Analysis: The Hands-On Guide 
to Dissecting Malicious Software, (2012) 


Chris Eagle, IDA Pro Book, (2011) 


Reginald Wong, Mastering Reverse Engineering: Re-engineer your ethical hacking 
skills, (2018) 


* L C. Kris Kaspersky の 本 も 。 


第 8.1.2 節 Windows 
・ Mark Russinovich, Microsoft Windows Internals 
・ Peter Ferrie - The “Ultimate” Anti-Debugging Reference? 


・ Microsoft: Raymond Chen 


* nynaeve.net 


1http://pferrie.host22.com/papers/antidebug.pdf 
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第 8.1.3 節 C/C++ 


Bria 


n W. Kernighan, Dennis M. Ritchie, The C Programming Language, 2ed, 


(1988) 
* ISO/IEC 9899:7C3 (C C99 standard), (2007)? 
* Bjarne Stroustrup, The C++ Programming Language, 4th Edition, (2013) 
e CE «11 standard? 


* Agn 


er Fog, Optimizing software in C++ (2015)^ 


* Marshall Cline, C++ FAQ? 


Den 
* JPL I 


nis Yurichev, C/C++ programming language notes? 


nstitutional Coding Standard for the C Programming Language’ 


第 8.1.4 節 x86 / x86-64 


* Inte 


| マニ ュ ア ル 8 


・ AMD マ ニュ アル 3 


・ Agn 
* Agn 


• Inte 


er Fog, The microarchitecture of Intel, AMD and VIA CPUs, (2016)!° 
er Fog, Calling conventions (2015)! 
I& 64 and IA-32 Architectures Optimization Reference Manual, (2014) 


* Software Optimization Guide for AMD Family 16h Processors, (2013) 
や や 時 代 遅 れ で す が 、 そ れ で も 興味 深く 読め ます 。 


Michael Abrash, Graphics Programming Black Book, 199712 (1814. Windows NT 
3.1 や id Quake な どの プロ ジェ クト の た め の 低 レベ ル の 最適 化 に 関す る 仕事 で 知ら れ 
て いま す 。) 


第 8.1.5 節 ARM 
° ARM マ ニュ アル 
・ ARM(R) Architecture Reference Manual, ARMv7-A and ARMv7-R edition, (2012) 


TUS 
3 以下 で * 
4 以下 で 
5 以下 で * 
6 以下 で * 
7 以下 で ネ 
8 以 + 


| 用 可能 http://www.open- std .0rg/]tc1/ sc22/WG14/www/docs/n1256 . pdf 

用 可能 http://www. open-std.org/jtc1/sc22/wg21/docs/papers/2013/n3690. pdf. 

| 用 可能 http: //agner.org/optimize/optimizing_cpp.pdf. 

| 用 可能 http://www.parashift.com/c++- Ғад- Lite/index.htm\ 

| 用 可能 http://yurichev.com/C-book.html 

用 可能 https://yurichev.com/mirrors/C/JPL Coding Standard C.pdf 

で fl 用 mw 能 http://www. 1ntet . com/content/www/us/en/Drocessors/ 


architectures - software- devetoper-manuats .htmt 


9 以下 で 
AFTI 
1 以下 で 
ウ 以 下 で ネ 


| 用 可能 http://developer.amd.com/resources/developer-guides-manuals/ 
| 用 可能 http://agner.org/optimize/microarchitecture.pdf 

| 用 可能 http: //www.agner.org/optimize/calling_conventions.pdf 

| 用 可能 https ://g1thub . com/jagregory/abrash- black- book 


13 以 下 で 利用 可能 http://infocenter.arm.com/help/index.jsp?topic=/com.arm.doc.subset. 


architect 


иге. reference/index.html 


565 
[ARM Architecture Reference Manual, ARMv8, for ARMv8-A architecture profile, 
(2013)]14 


Advanced RISC Machines Ltd, The ARM Cookbook, (1994)15 


8.1.68 7 t > 7) B šB 


Richard Blum — Professional Assembly Language. 


第 8.1.7 節 Java 


[Tim Lindholm, Frank Yellin, Gilad Bracha, Alex Buckley, The Java(R) Virtual Machine 
Specification / Java SE 7 Edition] 1°. 


第 8.1.8 節 UNIX 
Eric S. Raymond, The Art of UNIX Programming, (2003) 


8.1.98 71275 S 7 7 — 
・ Brian W. Kernighan, Rob Pike, Practice of Programming, (1999) 


• Henry S. Warren, Hacker's Delight, (2002). 本 か ら の トリ ッ ク や ハッ ク は 、 分 岐 命 
令 が 高価 で ある RISC CPU に の み 適 し て いた の で 、 今日 は 関係 な いと 言う 人 人 も いま す 。 
それ に も か か わら ず 、 こ れ ら は ブー ル 代 数 と それ に 近い すべ て の 数 学 を 理解 する た め 
に 非常 に 役立ち ます 。 


第 8.1.10 節 暗号 学 
・ Bruce Schneier, Applied Cryptography, (John Wiley & Sons, 1994) 


• (Free) Ivh, Crypto 101%’ 
• (Free) Dan Boneh, Victor Shoup, A Graduate Course in Applied Cryptography??. 


14 以 下 で 利用 可能 http://yurichev.com/mirrors/ARMv8-A Architecture Reference Manual 
(Issue A.a) .pdf 

15 以下 で 利用 可能 https : //yurichev.com/ref/ARM%20Cookbook%26( 1994) / 

16 以 下 で 利用 可能 https://docs.oracle.com/javase/specs/jvms/se7/jvms7.pdf; http://docs. 
oracle.com/javase/specs/jvms/se7/html/ 

V 以下 で 利用 可能 https://www.cryptol101.io/ 

18 以下 で 利用 可能 https://crypto.stanford.edu/-dabo/cryptobook/ 


Afterword 
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第 8.2 節 Questions? 


恥ず か し が ら ず に 著者 へ メール し て みよ う my emails. この 本 へ の 新た な コン テン ツ に 
つい て の 提案 が あり ます か ? 怖がら ず に どん な 訂正 で も 送っ て くだ さい (文法 ミス も 含め 
(私 の 日 本 語 が と っ て も ひど い の を 見 て る で し ょ ? )) 


The author is working on the book a lot, so the page and listing numbers, etc., are 
changing very rapidly. Please do not referto page and listing numbers in your emails 
to me. There is a much simpler method: make a screenshot ofthe page, in a graphics 
editor underline the place where you see the error, and send it to the author. He'll 
fix it much faster. And if you familiar with git and ИТЕХ you can fix the error right in 
the source code: 


https://beginners.re/src/. 


Do not worry to bother me while writing me about any petty mistakes you found, 
even if you are not very confident. I'm writing for beginners, after all, so beginners’ 
opinions and comments are crucial for my job. 
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US leat VIVAT Aao ihanien sa г кк s а ыба Ба xii 
EXTL【 A w Q sls NUS Q o E ix 
PRNG 擬似 乱数 生成 器 ..................................... 458 
ROM 読み 取り 専用 メモ リ ................................... 102 
ROOT 34 
LIFO 後 入 れ 先 出し 39 
MSB BEM YS bo a i 384 


LSB 最 下 位 ビ ッ ト 


ABI デザ デリ サー ヨタ トチ リー ザラ ミース oe tedd aa m bre puas 20 
RA DOUG FEA оос ded ddd (rx © hd Ra OMA SS od SA 28 
PE Portable Executable し し し に 6 
LR Link Registers . uy = жж REESE иок ж ЖЫШ кж жож ас аса R URGE S 8 


МІ 
Ч 
> 
< 
c 
со 


IDA Hex-Rays に よっ て 開発 され た イン タラ クティ ブ な ディ ス ア セン ブ 


MSVC Microsoft Visual C++ 


TLS Thread Local Storage nk spe a a sas suwa wl s s a gd k a a a m UP 343 
AKA DIE ¿sasawaqa daha aon eas 4 dee mks жыш odd жо. aQ owen 39 
CRE C Runtime ПАГ 2. ааа pa s шьш шз» жш ы ж в еш OEE Q m Q аза жожо a 13 
CPU Central Processing Unit ................................. 2 


FPU Floating-Point UNIE a V 


CISC Complex Instruction Set Computing ........................ 25 
RISC Reduced Instruction Set Computing .............. .. .. 000005 3 
BSS Block Started by Symbol ................................ 32 
SIMD Single Instruction, Multiple Data .......................... 239 
DBMS Database Management Systems . ........................ ix 
ISA Instruction Set Architecture. に し し に し にし に に にし にし に 3 
SEH Structured Exception Handling ................. ... eee 48 


ELF Executable and Linkable Format: Linux を 含め *NIX シ ステ ム で 広く 使用 され る 実行 


ATANIZ | düasacsexexexisesax4 Au EX E A Re ORY b RO CS 100 
TIB Thread Information Block „ааа harm a ab ERR 343 
NOP No Operation >is ess s. s ee sus ele R OR wok а CU ua s a w Rom киш жез 8 
BEQ (PowerPC, ARM) Branch if Equal ........................... 119 
BNE (PowerPC, ARM) Branch if Not Едица!......................... 256 
RAM Random-Access Метогу................................ 4 
GCC GNU Compiler Collection ................................ 5 
ASCII American Standard Code for Information Interchange ............ 355 
ASCIIZ ASCII Zero ( ヌメ ル 終 端 文字 列 ) ............................ 116 


VM Virtual Memory 


GPR General Purpose Registers 


BCD Binary-Coded Decimal ................................. 546 


GDB GNU Debugger sous s k EA a s É OE RPG зыш xe x V без 60 
ЕР Frame Peer ¿oo ooa kas asa du ha вш я Q W RR жошо S S Q ee 31 
JPE Jump Parity Even (x86 命 令 ) ............................... 290 


STMFD Store Multiple Full Descending (ARM 命 令 ) 


LDMFD Load Multiple Full Descending (ARM 命 令 ) 


STMED Store Multiple Empty Descending (ARM 命 令 ) ................. 39 
ГОМЕР Load Multiple Empty Descending (ARM 命 令 ) ................. 39 
STMFA Store Multiple Full Ascending (ARM 命 令 ) .................... 39 
LDMFA Load Multiple Full Ascending (ARM 命 令 ) .................... 39 
STMEA Store Multiple Empty Ascending (ARM 命 令 ) .................. 39 
LDMEA Load Multiple Empty Ascending (ARM 命 令 ) .................. 39 
APSR (ARM) Application Program Status Register . . ................. 315 
FPSCR (ARM) Floating-Point Status and Control Register............... 315 
JIT Just-In-Time compilation ................................. 560 
EOF End of File (ファ イル 終端 ) ............................... 108 
DES Data Encryption Standard .................. . me we RR Reed 547 
MIME Multipurpose Internet Mail Extensions ............... . . 547 


URL Uniform Resource Locator ............................... 5 


用 語 


anti-pattern 一 般 に 、 よ く な いと 考え られ る や り 方 . 42, 96 


callee 呼び 出さ れ た 関数 . 42, 58, 84, 109, 122, 125, 128, 512 
caller 呼び 出し 元 の 関数 . 7, 8, 10, 13, 38, 58, 109, 122, 123, 127, 191, 512 


endianness バイ ト オ ー ダ ー: ?? on page ??. 99, 420 
GiB ギガ バイ ト : 290 また は 1024 メ ガバ イト また は 1073741824 バ イト . 20 


jump offset 」MP 命 令 ま た は jcc 命 令 の オペ コー ド の 一 部 を 次 の 命令 の アド レス に 追加 す 
る 必要 が あり ます 。 これ が 新しい PC! の 計算 方 法 で す 。 負 と な る 場合 も あり ます . 
117, 163, 164 

leaf function 他 の 関数 か ら 呼 び 出 され な い 関 数 . 37, 41 


link register (RISC) リタ ー ン アド レス が 保存 され る レジ スタ 。 こ れ は leaf function を ス 
タッ ク を 使わ ず に 呼び 出す の を 可能 に する . 41 


loop unwinding n 回 の イ テ レ ー シ ョ ン の ルー プ コ ー ド を コン パイ ラ が 生成 する 代わ り 
に 、 ル ー プ ボディ を ヵ 回 コピ ー す る コー ド を 生成 する 。 ルー プ に 使用 する 命令 を 削除 
する た め . 228 


NaN 非 数 : float 型 の 数 の 特殊 な ケー ス で 、 エ ラー が 通知 され る . 286, 308 


register allocator CPU レジ スタ を ロー カル 変数 に 割り 当て る コン パイ ラ の 機構 . 247, 
372, 513 


reverse engineering 時 に は クロ ー ン する た め 、 ど う や っ て 動い て いる の か を 理解 し よ 
うと する 行為 . iv 


stack frame 現在 の 関数 に 固有 の 情報 (ロー カル 変数 、 関 数 の 引数 、RA な ど ) を 含む ス 
タッ ク の 一 部 . 86, 123 


stdout standard output. 27, 46, 191 


thunk function 単 一 の 役割 だ け 持 つ 小 さ な 関 数 : 他 の 関数 を 呼び 出す 等 . 29, 476 
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573 
tracer シン プル な デバ ッ グ ツー ル で す 。 以下 で 詳細 を 読む こと が で きま す : 6.2.1 on 
page 559. 231-233 


Windows NT Windows NT, 2000, XP, Vista, 7, 8, 10. 354, 509 

word PC より も 昔 の コン ピュ ー タ で は 、 メ モリ サイ ズ は バイ ト で は な く ワ ー ド で 測定 さ 
れる こと が し ば し ば で し た . 545, 547-550 

イン クリ メン ト 1 の 加算 . 21, 25, 226, 230, 249, 255, 396, 399, 537 

スタ ッ ク ポ ボ ポイ ンタ スタ ッ ク の 場所 を 示す レジ スタ . 14, 25, 39, 45, 55, 68, 70, 93, 125 

デ ク リ メン ト 1 の 減算 . 24, 225, 226, 249, 537 

ヒー プ OS が 提供 する 大 き な メ モリ の 塊 の こと で 、 ア プリ ケー ショ ン が 好き な よう に 分 割 
する こと が で きる 。malloc()/free() を 呼び 出し て 使用 する . 39, 422 

商 除算 結果 . 267, 270, 272, 273, 277, 526 

実数 小数 点 以下 を 含む 可能 性 の ある 数 字 。 これ は C/C++ で float と double で す . 267 


整数 型 通常 の 数 字 で す が 、 実 際 の 数 字 は あり ませ ん 。 ブ ー ル と 列挙 型 の 変数 を 渡す た め に 
使用 で きま す . 283 


積 乗算 結果 . 123, 274, 277, 495, 527 


索引 


if-then block, 316 
Leaf function, 41 
Mode switching, 130, 215 
mode switching, 28 
Optional operators 
ASR, 404 
LSL, 328, 362, 404, 539 
LSR, 404 
ROR, 404 
RRX, 404 
Pipeline, 213 
SsS- レ ジス タ , 277 
soft float, 278 
Thumb-2 モ ー ド , 2, 215, 316, 317 
Thumb モ ー ド , 2, 169, 215 
レジ スタ 
APSR, 315 
FPSCR, 315 
Link Register, 24, 25, 41, 68, 215 
scratch registers, 256 
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Japanese text placeholder, 233, 317 Z, 119 
0x0BADF00D, 96 命令 
0xCCCCCCCC, 96 ADC, 485 
ADD, 27, 132, 167, 234, 389, 404 
Ada, 133 ADDAL, 167 
Alpha АХР, 3 ADDCC, 213 
Angry Birds, 316, 317 ADDS, 130, 485 
Apollo Guidance Computer, 259 ADR, 24, 167 
ARM, 255 ADRcc, 167, 168, 200, 201 
Addressing modes, 536 ADRP/ADD pair, 31, 69, 103, 350, 
ARM1, 550 367, 540 
armel, 278 ASR, 408 
armhf, 278 ASRS, 382 
ARM モ ー ド , 2 B, 68, 167, 169 
Condition codes, 167 Bcc, 120, 121, 183 
D- レ ジス タ , 277 BCS, 169, 318 
DCB, 25 BEQ, 119, 201 
hard float, 278 BGE, 169 


BIC, 381, 382, 388, 410 

BL, 24, 26, 28, 29, 31, 167, 541 
BLcc, 167, 168 

BLE, 169 

BLS, 169 

BLX, 28 

BNE, 169 

BX, 130, 215 

CMP, 119, 120, 167, 201, 213, 404 
CSEL, 179, 185, 188, 405 

EOR, 388 

FCMPE, 319 

FCSEL, 319 

FMOV, 539 

FMRS, 389 

IT, 188, 316, 345 
LDMccFD, 168 

LDMEA, 39 

LDMED, 39 

LDMFA, 39 
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LDMFD, 25, 39, 168 
LDP, 32 


LDR, 71, 102, 328, 348, 536 


LDRB, 444 
LDRB.W, 256 
LDRSB, 255 
LSL, 404, 408 
LSL.W, 404 
LSLS, 328, 389 
LSR, 408 
LSRS, 389 
MADD, 130 
MLA, 130 


MOV, 10, 25, 26, 404 


MOVcc, 183, 188 
MOVK, 539 
MOVT.W, 28 
MOVW, 28 

MUL, 132 

MULS, 130 
MVNS, 256 

ORR, 381 

POP, 24-26, 39, 41 
PUSH, 26, 39, 41 
RET, 32 

RSB, 175, 362, 404 
SBC, 485 
STMEA, 39 
STMED, 39 
STMFA, 39, 72 
STMFD, 24, 39 
STMIA, 70 
STMIB, 72 

STP, 30, 69 

STR, 70, 328 
SUB, 70, 362, 404 
SUBEQ, 257 
SUBS, 485 

SXTB, 444 
SXTW, 367 
TEST, 247 

TST, 374, 404 
VADD, 277 
VDIV, 277 

VLDR, 277 
VMOV, 277, 315 
VMOVGT, 315 
VMRS, 315 
VMUL, 277 


XOR, 175, 389 
ARM64 
lo12, 69 
AT&T 構 文 , 15, 48 


bash, 135 

binary grep, 558 

Binary Ninja, 558 

BinNavi, 558 

binutils, 462 

Booth's multiplication algorithm, 266 


Callbacks, 467 
Canary, 340 
cdecl, 55 
column-major order, 355 
Compiler intrinsic, 46 
Cray, 495, 550 
CryptoMiniSat, 521 
Cygwin, 560 
C 標 準 ラ イブ ラリ 
alloca(), 45, 345 
assert(), 352 
localtime r(), 432 
longjmp(), 191 
malloc(), 423 
memcmp(), 553 
memcpy(), 15, 84 
pow(), 280 
puts(), 27 
qsort(), 468 
rand(), 411 
scanf(), 84 
strcmp(), 553 
strcpy(), 15 
strlen(), 246, 507 
strtok, 260 
言語 の 要素 
C99, 137 
bool, 369 
variable length arrays, 345 
const, 12, 103 
for, 226 
if, 153, 190 
return, 13, 109, 136 
switch, 189, 190, 200 
while, 246 
ポイ ンタ , 84, 92, 138, 467, 512 
前 置 イ ンク リ メ ン ト , 536 
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前 置 デ クリ メン ト , 536 
後 置 イ ンク リ メ ン ト , 536 
後 置 デ クリ メン ト , 536 
Data general Nova, 266 
DES, 494, 513 
Donald E. Knuth, 549 
double, 268 
dtruss, 559 


Dynamically loaded libraries, 28 
ELF, 100 


fastcall, 19, 44, 83, 371 

fetchmail, 547 

float, 268 

FORTRAN, 29 

Fortran, 355 

Function epilogue, 38, 68, 71, 168, 444 
Function prologue, 14, 38, 41, 70, 340 
Fused multiply-add, 130 


GDB, 37, 60, 64, 340, 477, 478, 558 
GHex, 557 
Glibc, 477 


Hex-Rays, 135, 243, 368 
Hiew, 116, 163, 557 
Honeywell 6070, 547 


IDA, 110, 462, 555, 558 
var ?, 70, 93 
IEEE 754, 268, 384, 458, 521 
Inline code, 235, 381 
Integer overflow, 133 
Intel 
8080, 255 
8086, 255, 380 
80386, 380 
80486, 268 
FPU, 268 
Intel 4004, 546 
Intel C++, 12, 495 
iPod/iPhone/iPad, 23 


JAD, 6 
Java, 548, 555 
jumptable, 206, 215 


Keil, 23 


LAPACK, 29 
Linker, 102 
Linux, 372 
libc.so.6, 371, 476 
LLDB, 558 
LLVM, 23 
long double, 268 
Loop unwinding, 228 


Mac OS X, 560 
minifloat, 539 
MIPS, 3 
Branch delay slot, 10 
Global Pointer, 363 
Load delay slot, 204 
032, 78, 83 
グロ ー バ ルポ イン タ , 32 
レジ スタ 
FCCR, 320 
命令 
ADD, 133 
ADDIU, 33, 107, 108 
ADDU, 133 
AND, 384 
BC1F, 321 
BC1T, 321 
BEO, 121, 171 
BLTZ, 176 
BNE, 171 
BNEZ, 217 
C.LT.D, 321 
J, 8, 10, 34 
JAL, 134 
JALR, 33, 134 
JR, 204 
LB, 242 
LBU, 242 
LI, 542 
LUI, 33, 107, 108, 387, 542 
LW, 33, 94, 108, 204, 543 
MFHI, 133 
MFLO, 133 
MTC1, 464 
MULT, 133 
NOR, 259 
OR, 36 
ORI, 384, 542 
SB, 242 
SLL, 217, 261, 407 
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SLLV, 407 Signed numbers, 155 

SLT, 171 SIMD, 521 

SLTIU, 217 SSE, 521 

SLTU, 171, 173, 217 SSE2, 521 

SRL, 267 strace, 559 

SUBU, 176 syscall, 371, 559 

SW, 78 Sysinternals, 560 

疑似 命令 

B, 238 Thumb-2 モ ー ド , 28 

BEQZ, 173 thunk-functions, 29 

LA, 36 TLS, 343 

LI, 10 tracer, 231, 473, 475, 558 

MOVE, 106 

NEGU, 176 UCS-2, 548 

NOP, 36, 106 UNIX 

NOT, 259 chmod, 5 
MS-DOS, 18, 43, 343 od, 557 

strings, 557 
Non-a-numbers (NaNs), 308 xxd, 557 
Unrolled loop, 235, 345 

objdump, 462, 558 UTF-16, 548 
Octet, 547 


OllyDbg, 56, 88, 99, 123, 139, 157, 207, WIn32 f 
230, 250, 271, 287, 298, 325,334, | GetOpenFileName, 259 
337, 356, 394, 420, 442, 443, 449, WinDbg, 558 


453, 471, 558 Windows 

Oracle RDBMS, 12, 494 KERNEL32.DLL, 369 

MSVCR80.DLL, 469 
Page (memory), 509 Structured Exception Handling, 48, 556 
PDP-11, 536 TIB, 343 
PowerPC, 3, 32 Win32, 369 
puts() instead of printf(), 27, 91, 135, 165 T 

x 

Quake 11 Arena, 467 AVX, 494 

MMX, 493 
rada.re, 17 SSE, 494 
Radare, 558 SSE2, 494 
rafind2, 558 フラ グ 
RAM, 102 CF, 44 
Raspberry Pi, 23 レジ スタ 
Register allocation, 513 AF, 546 
Relocation, 28 EAX, 109, 134 
Reverse Polish notation, 322 EBP, 86, 123 
RISC pipeline, 168 ESP, 55, 86 
ROM, 102, 103 JMP, 211 
row-major order, 355 ZF, 109, 370 
RSA, 6 フラ グ , 109, 157 

| I 命令 

Security Cookie, 340 ADC, 483 


Shadow space, 126, 128, 523 ADD, 12, 55, 123 
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ADDSD, 522 
ADDSS, 536 
ADRcc, 178 
AND, 14, 370, 375, 392, 409, 452 
BSF, 511 

BTC, 386 

BTR, 386 

BTS, 386 

CALL, 40 

CDQ, 493 
CMOVcc, 168, 178, 180, 183, 188 
CMP, 109 
COMISD, 532 
COMISS, 536 
CPUID, 449 

DEC, 249 
DIVSD, 522 
FADDP, 270, 276 
FATRET, 402, 403 
FCMOVcc, 311 
FCOM, 297, 308 
FCOMP, 284 
FDIV, 270 
FDIVP, 270 
FDIVR, 276 

FLD, 281, 284 
FMUL, 270 
FNSTSW, 284, 309 
FSCALE, 465 
FSTP, 281 
FUCOM, 308 
FUCOMI, 311 
FUCOMPP, 308 
FWAIT, 268 
IMUL, 123, 366 
INC, 249 

INT, 43 

JA, 155, 310 
JAE, 155 

JB, 155 

JBE, 155 

jcc, 121, 182 

JE, 191 

JG, 155 

JGE, 154 

JL, 155 

JLE, 154 

JMP, 40 

JNBE, 309 


JNE, 109, 154 
JP, 285 
JZ, 119, 191 
LEA, 86, 126, 426 
LEAVE, 14 
LOOP, 225, 245 
MAXSD, 532 
MOV, 10, 13, 16 
MOVDQA, 499 
MOVDQU, 499 
MOVSD, 530 
MOVSDX, 530 
MOVSS, 536 
MOVSX, 247, 255, 442, 444 
MOVSXD, 347 
MOVZX, 248, 423 
MULSD, 522 
NOT, 254, 256 
OR, 375 
PADDD, 499 
PCMPEQB, 510 
PLMULHW, 495 
PLMULLD, 495 
PMOVMSKB, 510 
POP, 12, 39 
PUSH, 12, 14, 39, 40, 86 
PXOR, 510 
RET, 7, 10, 13, 340 
ROL, 402 
SAHF, 308 
SAR, 408 
SBB, 483 
SETcc, 171, 248, 309 
SHL, 261, 324, 408 
SHR, 267, 408, 452 
SHRD, 491 
SUB, 13, 14, 109, 191 
TEST, 247, 370, 374, 409 
XOR, 13, 109, 254 
x86-64, 18, 19, 63, 84, 91, 118, 125, 512, 
521 
Xcode, 23 


Z80, 546 


イン テル 構文 , 15, 23 
グロ ー バ ル 変 数 , 96 
コン パイ ラ ア ノ マ リ , 182, 366, 382, 403 
スタ ッ ク , 39, 122, 191 
Stack frame, 86 


579 


スタ ッ ク オ ー バ ー フ ロー, 40 
バッ ファ オー バー フロ ー, 332, 339 
パン チカ ー ド , 322 
位置 独立 コー ド , 24 
再帰 , 38, 40 


糖衣 構文 , 190 


